U kunt kijken naar regels en voorschriften in andere rechtsgebieden.
Fintech-bedrijven verzamelen, controleren en verwerken enorme hoeveelheden persoonsgegevens (inclusief KYC-gegevens) en zijn als gevolg daarvan onderworpen aan regels voor gegevensprivacy onder de Algemene Verordening Gegevensbescherming (AVG), die niet alleen van toepassing is op gevestigde fintech-bedrijven. in de EU, maar ook aan buiten de EU gevestigde bedrijven als zij klanten in de EU hebben en de verwerking van persoonsgegevens van klanten plaatsvindt in het kader van het aanbieden van diensten aan deze betrokkenen, ongeacht of betaling van de gegevens vereist is onderwerp. Het Europees Comité voor gegevensbescherming (EDPB) verduidelijkt in zijn Richtsnoer 3/2018 over de territoriale reikwijdte van de AVG, aangenomen op 16 november 2018, dat de intentie om zich te richten op klanten in de EU essentieel is om te beoordelen of buiten het EU-grondgebied gevestigde entiteiten onderworpen zijn aan aan de AVG.1
In sommige gevallen kan voor de verwerking van persoonsgegevens de toestemming van de cliënt vereist zijn. De vooraf gemarkeerde toestemmings- of opt-out-velden zijn niet langer toegestaan, aangezien toestemming de vorm moet hebben van een verklaring of een duidelijke bevestigende handeling. De AVG legt belastende verantwoordingsverplichtingen op aan gegevensbeheerders met betrekking tot bewijs van naleving, wat een belangrijke paradigmaverschuiving in het gegevensbeschermingsregime betekent. Dit omvat het uitvoeren van gegevensbeschermingseffectbeoordelingen voor verwerkingen met een hoger risico (zoals verwerkingen waarbij persoonsgegevens worden verwerkt die kunnen worden gebruikt om financiële fraude te plegen) en het implementeren van gegevensbescherming door ontwerp en door standaardinstellingen.1
Deze algemene regels voor gegevensbescherming worden aangevuld met bankgeheim en AML-regels waaraan fintech-bedrijven zullen moeten voldoen bij het verlenen van diensten aan hun klanten.1
De regels voor het bankgeheim bepalen dat de openbaarmaking van persoonsgegevens van klanten beschermd door het bankgeheim (inclusief grensoverschrijdende overschrijvingen) alleen is toegestaan met voorafgaande toestemming van de klant of als openbaarmaking noodzakelijk is om een van de volgende acties te bereiken:
In het verleden oordeelde de Portugese Gegevensbeschermingsautoriteit (CNPD) in een specifiek geval dat alle persoonsgegevens die door een bank worden verwerkt, onder het bankgeheim vielen.1
Met betrekking tot de verwerking van klantgegevens voor AML-rapportagedoeleinden, is de openbaarmaking van specifieke relevante persoonsgegevens gebaseerd op de vervulling van een wettelijke verplichting en is het daarom niet nodig om de toestemming van de betrokkene te verkrijgen. Aangezien het concept van "toestemming van de klant" onder de PSEMLF en het wettelijk kader van financiële instellingen verschilt van het concept van "toestemming" onder de AVG, kiezen veel banken en andere financiële instellingen ervoor om toestemming van klanten te verzamelen voor de openbaarmaking van informatie over het bankgeheim in de context van hun algemene voorwaarden van de klant.1
Een ander belangrijk aspect van gegevensverwerking in de context van fintech-business is klantprofilering en bedrijfssegmentatie, evenals geautomatiseerde besluitvorming op basis van profilering. Er zijn geen geautomatiseerde beslissingen toegestaan die van invloed zijn of een aanzienlijke invloed hebben op de betrokkene, uitsluitend gebaseerd op geautomatiseerde gegevensverwerking die bedoeld is om bepaalde persoonlijke aspecten die hem of haar betreffen te evalueren.1
De AVG introduceerde nieuwe bepalingen om de risico's in verband met profilering en geautomatiseerde besluitvorming aan te pakken. In principe kan dit soort besluitvorming volgens de AVG alleen plaatsvinden als de beslissing ofwel noodzakelijk is voor het sluiten of uitvoeren van het contract, ofwel is toegestaan door EU- of lidstatelijke wetgeving die van toepassing is op de verwerkingsverantwoordelijke, ofwel gebaseerd is op expliciete toestemming gezichten. Als een van deze gronden van toepassing is, moeten aanvullende beveiligingsmaatregelen worden getroffen, evenals het bekendmaken van specifieke informatie over geautomatiseerde individuele besluitvorming aan betrokken betrokkenen met betrekking tot logica, betekenis en beoogde gevolgen. In januari 2020, in antwoord op een brief van Europarlementariër Sophie in 't Veld over oneerlijke algoritmen met betrekking tot de vraag of de AVG voldoende is om betrokkenen te beschermen tegen oneerlijke geautomatiseerde besluitvorming, benadrukte de EDPB dat "verwerkingsverantwoordelijken verplicht zijn om alle potentiële risico's die het gebruik of de creatie van een specifiek algoritme zou kunnen creëren voor de rechten en vrijheden van individuen, en, indien nodig, maatregelen nemen om deze risico's weg te nemen.1
Er zijn ook aanvullende beperkingen op het gebruik van speciale gegevenscategorieën (zoals gezondheidsgegevens of biometrische gegevens) voor de verwerking van persoonsgegevens, wat uiteindelijk van invloed kan zijn op de manier waarop fintech-bedrijven sterke klantauthenticatiemechanismen implementeren in overeenstemming met regelgevende technische PSD II-normen, aangezien technische reguleringsnormen in dit verband het gebruik van biometrische gegevens van betalingsdienstgebruikers vereisen. De CNPD heeft consequent geoordeeld dat financiële gegevens gevoelige gegevens zijn in die zin dat ze aspecten van iemands privéleven onthullen en daarom moeten worden beschermd door de Portugese grondwet. Aangezien financiële gegevens door de EDPB ook als zeer persoonlijke gegevens worden behandeld, kan dit uiteindelijk gevolgen hebben voor de striktheid van de technische en organisatorische maatregelen die gegevensbeheerders en verwerkers nemen om gegevens te beschermen, evenals voor de noodzaak om gegevensverificatie te ondergaan. beschermingseffectbeoordeling (DPIA) voorafgaand aan gegevensverwerking. Zo kan de verwerking van financiële gegevens aanleiding geven tot de noodzaak van een DPIA in overeenstemming met de CNPD-verordening 1/2018, die de verwerkingsactiviteiten opsomt die onder de verplichte DPIA vallen, aangezien de verordening verwijst naar de verwerking van gegevens van een zuiver persoonlijk karakter. in vier van de negen gevallen.1
Onverminderd het voorgaande is de Portugese wetgeving ter uitvoering van de AVG op 8 augustus 2019 in werking getreden. Wet nr. 58/2019 voert een aantal aanvullende aanpassingen en beperkingen in op de regels van de AVG, in het bijzonder met betrekking tot de verwerking van persoonsgegevens van overleden personen, toepasselijke bewaartermijnen voor gegevens en toestemming van minderjarigen voor gegevensverwerking. In het bijzonder, en onverminderd het beginsel van beperking van het doel van de AVG, staat wet nr. 58/2019 gegevensbeheerders of verwerkers toe om persoonsgegevens te bewaren tot het verstrijken van eventuele wettelijke verjaringstermijnen gedurende welke zij de gegevens mogelijk moeten gebruiken om aantonen dat wordt voldaan aan wettelijke of contractuele verplichtingen.1
Buitenlandse fintech-platforms op de Portugese markt
Wij werken voor internationale kleine en middelgrote ondernemingen, start-ups en telecommunicatiebedrijven
Uitgebreide juridische dienstverlening voor bedrijven op het gebied van ondernemingsrecht, belastingrecht, cryptocurrency-wetgeving, investeringsactiviteiten
Juridische ondersteuning voor FinTech- en Blockchain-projecten
