Вы можете посмотреть правила и регулирование в других юрисдикциях.
Финтех-компании собирают, контролируют и обрабатывают огромные объемы персональных данных (включая данные KYC), в результате чего на них распространяются правила конфиденциальности данных, предусмотренные в Общем регламенте по защите данных (GDPR), который применяется не только к созданным финтех-компаниям. в ЕС, но и компаниям, учрежденным за пределами ЕС, если у них есть клиенты в ЕС и обработка персональных данных клиентов осуществляется в контексте предложения услуг этим субъектам данных, независимо от того, требуется ли оплата от субъект данных. Европейский совет по защите данных (EDPB) разъяснил в своем Руководстве 3/2018 о территориальном охвате GDPR, принятом 16 ноября 2018 г., что намерение ориентироваться на клиентов в ЕС является ключом к оценке того, учреждены ли организации за пределами территории ЕС подпадают под действие GDPR.1
В некоторых случаях для обработки персональных данных может потребоваться согласие клиента. Предварительно отмеченные поля согласия или отказа больше не будут разрешены, поскольку согласие должно быть выражено в виде заявления или четкого положительного действия. GDPR возлагает на контроллеров данных обременительные обязательства по подотчетности в отношении подтверждения соблюдения требований, что представляет собой серьезный сдвиг парадигмы в режиме защиты данных. Это включает в себя проведение оценок воздействия на защиту данных для более рискованных операций обработки (например, операций, связанных с обработкой персональных данных, которые могут быть использованы для совершения финансового мошенничества) и реализацию защиты данных по замыслу и по умолчанию.1
Эти общие правила защиты данных дополняются правилами банковской тайны и AML, которые финтех-компании должны будут соблюдать при предоставлении услуг своим клиентам.1
Правила о банковской тайне определяют, что раскрытие персональных данных клиентов, охраняемых банковской тайной (включая трансграничные переводы), допускается только с предварительного разрешения клиента или если раскрытие необходимо для достижения одного из следующих действий:
В прошлом Управление по защите данных Португалии (CNPD) постановило в конкретном случае, что все персональные данные, обрабатываемые банком, подлежат банковской тайне.1
Что касается обработки данных клиентов для целей отчетности по ПОД, раскрытие конкретных соответствующих персональных данных основано на выполнении юридического обязательства, и поэтому нет необходимости получать согласие субъекта данных. Поскольку концепция «разрешения клиента» в соответствии с PSEMLF и правовой базой финансовых учреждений отличается от концепции «согласия» в соответствии с GDPR, многие банки и другие финансовые учреждения предпочитают собирать разрешения клиентов на раскрытие информации, на которую распространяется банковская тайна, в контекст их общих положений и условий клиента.1
Еще одним важным аспектом обработки данных в контексте финтех-бизнеса является определение профилей клиентов и сегментация бизнеса, а также автоматизированное принятие решений на основе профилирования. Не допускаются автоматизированные решения, которые оказывают влияние на субъекта данных или существенно влияют на него или ее и основаны исключительно на автоматизированной обработке данных, предназначенной для оценки определенных личных аспектов, касающихся его или ее.1
GDPR ввел новые положения для устранения рисков, связанных с профилированием и автоматизированным принятием решений. В основном, в соответствии с GDPR, такой тип принятия решений может осуществляться только в том случае, если решение либо необходимо для заключения или исполнения договора, либо санкционировано законодательством ЕС или государства-члена, применимым к контролеру, или, наконец, на основании явного согласия лица. Если применяется одно из этих оснований, должны быть введены дополнительные меры безопасности, а также раскрытие конкретной информации об автоматизированном индивидуальном принятии решений затронутым субъектам данных в отношении логики, значения и предполагаемых последствий. В январе 2020 года в ответ на письмо члена Европейского парламента Софи ин 'т Вельд о недобросовестных алгоритмах, касающееся того, достаточно ли GDPR для защиты субъектов данных от недобросовестного автоматизированного принятия решений, EDPB подчеркнул, что «контролеры обязаны учитывать все потенциальные риски, которые использование или создание конкретного алгоритма потенциально может создать для прав и свобод физических лиц, и при необходимости принять меры по устранению этих рисков».1
Существуют также дополнительные ограничения на использование специальных категорий данных (таких как данные о состоянии здоровья или биометрические данные) для любой обработки персональных данных, что в конечном итоге может повлиять на то, как финтех-компании будут внедрять надежные механизмы аутентификации клиентов в соответствии с нормативными техническими стандартами PSD II. , так как нормативные технические стандарты предполагают использование биометрических данных пользователей платежных услуг в этом контексте. CNPD последовательно постановляла, что финансовые данные являются конфиденциальными данными в том смысле, что они раскрывают аспекты частной жизни человека и, следовательно, должны быть защищены Конституцией Португалии. Поскольку финансовые данные также рассматриваются EDPB как данные сугубо личного характера, это может в конечном итоге повлиять на строгость технических и организационных мер, которые контролеры и обработчики данных выбирают для защиты данных, а также на необходимость прохождения проверки данных. оценка воздействия на защиту (DPIA) перед началом обработки данных. Таким образом, обработка финансовых данных может повлечь за собой необходимость в DPIA в соответствии с Регламентом CNPD 1/2018, в котором перечислены действия по обработке, подпадающие под обязательный DPIA, поскольку в Регламенте говорится об обработке данных сугубо личного характера. в четырех из девяти случаев.1
Без ущерба для вышеизложенного, португальское законодательство, имплементирующее GDPR, вступило в силу 8 августа 2019 года. Закон № 58/2019 вносит некоторые дополнительные коррективы и ограничения в правила, изложенные в GDPR, в частности, в отношении обработки персональных данных умерших лиц. , применимые сроки хранения данных и согласие несовершеннолетних на обработку данных. В частности, и без ущерба для принципа ограничения цели GDPR, Закон № 58/2019 позволяет контролерам или обработчикам данных хранить персональные данные до истечения любых установленных законом сроков давности, в течение которых им может потребоваться использовать данные для демонстрации соблюдения правовых или договорные обязательства.1
Иностранные финтех-платформы на рынке Португалии
Мы работаем для международных малых и средних предприятий, стартапов и телекоммуникационных компаний
Комплексное юридическое обслуживание бизнеса по вопросам корпоративного, налогового права, законодательства о криптовалюте, инвестиционной деятельности
Юридическое сопровождение проектов в сфере FinTech и Blockchain
