Du kan se på regler og forskrifter i andre jurisdiksjoner.
Fintech-selskaper samler inn, kontrollerer og behandler enorme mengder personopplysninger (inkludert KYC-data) og er som et resultat underlagt personvernregler i henhold til General Data Protection Regulation (GDPR), som ikke bare gjelder etablerte fintech-selskaper. i EU, men også til selskaper etablert utenfor EU hvis de har kunder i EU og behandlingen av personopplysninger til kunder utføres i forbindelse med å tilby tjenester til disse registrerte, uavhengig av om det kreves betaling fra dataene Emne. European Data Protection Board (EDPB) klargjorde i sin veiledning 3/2018 om det territoriale omfanget av GDPR, vedtatt 16. november 2018, at intensjonen om å målrette kunder i EU er nøkkelen til å vurdere om enheter etablert utenfor EUs territorium er underlagt til GDPR.1
Noen tilfeller kan behandling av personopplysninger kreve samtykke fra klienten. De forhåndsmerkede samtykke- eller opt-out-feltene vil ikke lenger være tillatt, da samtykke må være i form av en erklæring eller en klar bekreftende handling. GDPR legger tyngende ansvarsforpliktelser på behandlingsansvarlige i forhold til bevis på samsvar, noe som representerer et stort paradigmeskifte i databeskyttelsesregimet. Dette inkluderer å gjennomføre databeskyttelseskonsekvensvurderinger for behandlingsoperasjoner med høyere risiko (for eksempel de som involverer behandling av personopplysninger som kan brukes til å begå økonomisk svindel) og implementere databeskyttelse ved design og som standard.1
Disse generelle databeskyttelsesreglene er supplert med bankhemmeligheter og AML-regler som fintech-selskaper vil måtte forholde seg til når de yter tjenester til sine kunder.1
Bankhemmelighetsreglene sier at utlevering av personopplysninger til kunder som er beskyttet av bankhemmeligheter (inkludert grenseoverskridende overføringer) kun er tillatt med forhåndstillatelse fra kunden eller dersom utlevering er nødvendig for å oppnå en av følgende handlinger:
Tidligere avgjorde det portugisiske datatilsynet (CNPD) i en konkret sak at alle personopplysninger som behandles av en bank var underlagt bankhemmeligheter.1
Når det gjelder behandling av kundedata for AML-rapporteringsformål, er utlevering av spesifikke relevante personopplysninger basert på oppfyllelse av en juridisk forpliktelse, og det er derfor ikke behov for å innhente samtykke fra den registrerte. Siden konseptet "kundetillatelse" under PSEMLF og det juridiske rammeverket for finansinstitusjoner skiller seg fra konseptet "samtykke" under GDPR, velger mange banker og andre finansinstitusjoner å samle inn kundetillatelser for avsløring av bankhemmelighetsinformasjon i konteksten av kundens generelle vilkår og betingelser.1
Et annet viktig aspekt ved databehandling i forbindelse med fintech-virksomhet er kundeprofilering og forretningssegmentering, samt automatisert beslutningstaking basert på profilering. Ingen automatiserte avgjørelser er tillatt som påvirker eller vesentlig påvirker den registrerte, utelukkende basert på automatisert databehandling designet for å evaluere visse personlige aspekter som angår vedkommende.1
GDPR introduserte nye bestemmelser for å håndtere risikoene knyttet til profilering og automatisert beslutningstaking. I utgangspunktet, i henhold til GDPR, kan denne typen beslutninger bare finne sted hvis avgjørelsen enten er nødvendig for inngåelse eller oppfyllelse av kontrakten, eller autorisert av EU- eller medlemsstatslov som gjelder for den behandlingsansvarlige, eller endelig basert på eksplisitt samtykke ansikter. Hvis en av disse grunnene gjelder, må det settes i verk ytterligere sikkerhetstiltak, samt utlevering av spesifikk informasjon om automatisert individuell beslutningstaking til berørte registrerte angående logikk, mening og tiltenkte konsekvenser. I januar 2020, som svar på et brev fra MEP Sophie in 't Veld om urettferdige algoritmer angående hvorvidt GDPR er tilstrekkelig til å beskytte datasubjekter mot urettferdig automatisert beslutningstaking, understreket EDPB at "kontrollører har en forpliktelse til å vurdere alle potensielle risikoer som bruk eller opprettelse av en spesifikk algoritme potensielt kan skape for enkeltpersoners rettigheter og friheter, og om nødvendig iverksette tiltak for å eliminere disse risikoene.»1
Det er også ytterligere restriksjoner på bruken av spesielle kategorier av data (som helsedata eller biometriske data) for all behandling av personopplysninger, som til syvende og sist kan påvirke hvordan fintech-selskaper implementerer sterke kundeautentiseringsmekanismer i samsvar med regulatoriske tekniske PSD II-standarder. , ettersom regulatoriske tekniske standarder krever bruk av biometriske data for betalingstjenestebrukere i denne sammenheng. CNPD har konsekvent slått fast at økonomiske data er sensitive data i den forstand at de avslører aspekter ved en persons privatliv og derfor må beskyttes av den portugisiske grunnloven. Siden økonomiske data også behandles som svært personlige data av EDPB, kan dette til syvende og sist påvirke strengheten til de tekniske og organisatoriske tiltakene som behandlingsansvarlige og databehandlere tar for å beskytte data, samt behovet for å gjennomgå dataverifisering. beskyttelseskonsekvensvurdering (DPIA) før databehandling. Behandling av økonomiske data kan således gi opphav til behov for en DPIA i henhold til CNPD-forordningen 1/2018, som lister opp behandlingsaktiviteter som faller inn under den obligatoriske DPIA, siden forordningen viser til behandling av data fra en ren personlig natur. i fire av ni tilfeller.1
Uten at det berører det foregående, trådte portugisisk lovgivning som implementerer GDPR i kraft 8. august 2019. Lov nr. 58/2019 innfører noen tilleggsjusteringer og begrensninger i reglene i GDPR, særlig når det gjelder behandling av personopplysninger om avdøde personer. , gjeldende dataoppbevaringsperioder og samtykke fra mindreårige til databehandling. Spesielt, og uten at det berører prinsippet om begrensning av formålet i GDPR, tillater lov nr. 58/2019 behandlingsansvarlige eller databehandlere å beholde personopplysninger til utløpet av eventuelle lovbestemte foreldelsesfrister der de kan ha behov for å bruke dataene for å demonstrere overholdelse av juridiske eller kontraktsmessige forpliktelser.1
Utenlandske fintech-plattformer i det portugisiske markedet
Vi jobber for internasjonale små og mellomstore bedrifter, oppstartsbedrifter og telekommunikasjonsselskaper
Deltakelse som advokat i investeringsfond, gjennomføring av M&A ventureavtaler innen IT, støtte for iGaming og forretningsmidler
Omfattende juridiske tjenester for bedrifter innen selskap, skattelovgivning, kryptovalutalovgivning, investeringsaktiviteter