Możesz zapoznać się z zasadami i przepisami w innych jurysdykcjach.
Firmy fintech zbierają, kontrolują i przetwarzają ogromne ilości danych osobowych (w tym dane KYC), w wyniku czego podlegają zasadom ochrony danych w ramach Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które nie dotyczy tylko firm fintechowych o ugruntowanej pozycji. w UE, ale także spółkom mającym siedzibę poza UE, jeśli mają klientów w UE, a przetwarzanie danych osobowych klientów odbywa się w kontekście oferowania usług tym osobom, których dane dotyczą, niezależnie od tego, czy od danych wymaga się zapłaty Przedmiot. Europejska Rada Ochrony Danych (EROD) wyjaśniła w swoich wytycznych 3/2018 w sprawie zakresu terytorialnego RODO, przyjętych 16 listopada 2018 r., że zamiar dotarcia do klientów w UE ma kluczowe znaczenie dla oceny, czy podmioty mające siedzibę poza terytorium UE podlegają do RODO.1
Niektórych przypadkach przetwarzanie danych osobowych może wymagać zgody Klienta. Wstępnie oznaczone pola zgody lub rezygnacji nie będą już dozwolone, ponieważ zgoda musi mieć formę oświadczenia lub wyraźnego działania potwierdzającego. RODO nakłada na administratorów danych uciążliwe obowiązki w zakresie rozliczalności w odniesieniu do dowodów zgodności, co stanowi istotną zmianę paradygmatu w systemie ochrony danych. Obejmuje to przeprowadzanie ocen skutków dla ochrony danych w przypadku operacji przetwarzania obarczonych wyższym ryzykiem (takich jak przetwarzanie danych osobowych, które mogą zostać wykorzystane do popełnienia oszustwa finansowego) oraz wdrażanie ochrony danych w fazie projektowania i domyślnej.1
Uzupełnieniem tych ogólnych zasad ochrony danych są tajemnica bankowa i zasady przeciwdziałania praniu pieniędzy, których firmy fintech będą musiały przestrzegać, świadcząc usługi swoim klientom.1
Zasady tajemnicy bankowej stanowią, że ujawnienie danych osobowych klientów objętych tajemnicą bankową (w tym przelewów transgranicznych) jest dozwolone wyłącznie za uprzednią zgodą klienta lub gdy ujawnienie jest niezbędne do wykonania jednej z następujących czynności:
W przeszłości portugalski organ ochrony danych (CNPD) orzekł w konkretnej sprawie, że wszystkie dane osobowe przetwarzane przez bank podlegają tajemnicy bankowej.1
Odniesieniu do przetwarzania danych klientów na potrzeby zgłaszania AML ujawnienie określonych istotnych danych osobowych odbywa się na podstawie wypełnienia obowiązku prawnego, w związku z czym nie ma potrzeby uzyskiwania zgody osoby, której dane dotyczą. Ponieważ koncepcja „zgody klienta” w PSEMLF i ramy prawne instytucji finansowych różni się od koncepcji „zgody” w ramach RODO, wiele banków i innych instytucji finansowych decyduje się na zbieranie zezwoleń klientów na ujawnienie informacji stanowiących tajemnicę bankową w kontekście ich ogólnych warunków klienta.1
Kolejnym ważnym aspektem przetwarzania danych w kontekście biznesu fintech jest profilowanie i segmentacja klientów oraz zautomatyzowane podejmowanie decyzji na podstawie profilowania. Nie są dozwolone żadne zautomatyzowane decyzje, które wpływają lub istotnie wpływają na osobę, której dane dotyczą, i opierają się wyłącznie na zautomatyzowanym przetwarzaniu danych mającym na celu ocenę niektórych aspektów osobistych jej dotyczących.1
RODO wprowadziło nowe przepisy dotyczące zagrożeń związanych z profilowaniem i zautomatyzowanym podejmowaniem decyzji. Zasadniczo zgodnie z RODO tego rodzaju podejmowanie decyzji może mieć miejsce tylko wtedy, gdy decyzja jest albo niezbędna do zawarcia lub wykonania umowy, albo jest dozwolona prawem UE lub prawem państwa członkowskiego mającym zastosowanie do administratora, albo wreszcie opiera się na wyraźnym twarze zgody. Jeśli ma zastosowanie jedna z tych podstaw, należy wprowadzić dodatkowe środki bezpieczeństwa, a także ujawnić określone informacje o zautomatyzowanym indywidualnym podejmowaniu decyzji osobom, których dane dotyczą, dotyczące logiki, znaczenia i zamierzonych konsekwencji. W styczniu 2020 r., w odpowiedzi na pismo posłanki do Parlamentu Europejskiego Sophie in 't Veld w sprawie nieuczciwych algorytmów dotyczących tego, czy RODO jest wystarczające do ochrony osób, których dane dotyczą, przed nieuczciwym zautomatyzowanym podejmowaniem decyzji, EROD podkreśliła, że „administratorzy mają obowiązek rozważyć wszystkie potencjalne zagrożeń, jakie użycie lub stworzenie określonego algorytmu mogłoby potencjalnie stworzyć dla praw i wolności jednostek, oraz, jeśli to konieczne, podjąć działania w celu wyeliminowania tych zagrożeń”.1
Istnieją również dodatkowe ograniczenia dotyczące wykorzystywania szczególnych kategorii danych (takich jak dane dotyczące zdrowia czy dane biometryczne) do przetwarzania danych osobowych, co może ostatecznie wpłynąć na sposób, w jaki firmy fintech wdrażają silne mechanizmy uwierzytelniania klientów zgodnie z regulacyjnymi standardami technicznymi PSD II. , ponieważ regulacyjne standardy techniczne wymagają w tym kontekście wykorzystania danych biometrycznych użytkowników usług płatniczych. CNPD konsekwentnie orzekała, że dane finansowe są danymi wrażliwymi w tym sensie, że ujawniają aspekty życia prywatnego danej osoby i dlatego muszą być chronione przez portugalską konstytucję. Ponieważ dane finansowe są również traktowane przez EROD jako dane wysoce osobowe, może to ostatecznie wpłynąć na rygor środków technicznych i organizacyjnych, które administratorzy danych i podmioty przetwarzające podejmują w celu ochrony danych, a także na konieczność poddania się weryfikacji danych. ocena wpływu na ochronę (DPIA) przed przetwarzaniem danych. W związku z tym przetwarzanie danych finansowych może wiązać się z koniecznością przeprowadzenia DPIA zgodnie z rozporządzeniem CNPD 1/2018, które wymienia czynności przetwarzania objęte obowiązkową DPIA, ponieważ rozporządzenie odnosi się do przetwarzania danych wyłącznie charakter osobisty. w czterech z dziewięciu przypadków.1
Bez uszczerbku dla powyższego, przepisy portugalskie wdrażające RODO weszły w życie 8 sierpnia 2019 r. Ustawa nr 58/2019 wprowadza dodatkowe dostosowania i ograniczenia do zasad określonych w RODO, w szczególności w zakresie przetwarzania danych osobowych osób zmarłych. , obowiązujące okresy przechowywania danych oraz zgody osób nieletnich na przetwarzanie danych. W szczególności i bez uszczerbku dla zasady ograniczenia celu RODO, ustawa nr 58/2019 umożliwia administratorom danych lub podmiotom przetwarzającym przechowywanie danych osobowych do czasu wygaśnięcia ustawowych terminów przedawnienia, w których mogą potrzebować wykorzystywać dane do wykazać zgodność ze zobowiązaniami prawnymi lub umownymi.1
Zagraniczne platformy fintech na rynku portugalskim
Pracujemy dla międzynarodowych małych i średnich przedsiębiorstw, start-upów i firm telekomunikacyjnych
Udział jako prawnik w funduszach inwestycyjnych venture, przeprowadzanie transakcji typu M&A venture w obszarze IT, wsparcie dla iGamingu oraz aktywów biznesowych
Kompleksowa obsługa prawna przedsiębiorców w zakresie prawa spółek, prawa podatkowego, prawa kryptowalutowego, działalności inwestycyjnej