sk

Analiza pieței

Tento článok nie je právna rada.

Ochrana osobných údajov v Portugalsku

Hlavná stránka

Fintech spoločnosti zhromažďujú, kontrolujú a spracúvajú obrovské množstvo osobných údajov (vrátane údajov KYC) a v dôsledku toho podliehajú pravidlám ochrany osobných údajov podľa všeobecného nariadenia o ochrane údajov (GDPR), ktoré sa nevzťahuje len na zavedené fintech spoločnosti. v EÚ, ale aj spoločnostiam so sídlom mimo EÚ, ak majú zákazníkov v EÚ a spracúvanie osobných údajov zákazníkov sa vykonáva v rámci ponuky služieb týmto dotknutým osobám, bez ohľadu na to, či je z údajov vyžadovaná platba predmet. Európsky výbor pre ochranu údajov (EDPB) vo svojom Usmernení 3/2018 k územnej pôsobnosti GDPR, prijatom 16. novembra 2018, objasnil, že zámer zamerať sa na zákazníkov v EÚ je kľúčový pre posúdenie, či subjekty usadené mimo územia EÚ podliehajú k GDPR.1

Niektorých prípadoch si spracovanie osobných údajov môže vyžadovať súhlas klienta. Vopred označené polia súhlasu alebo odstúpenia už nebudú povolené, pretože súhlas musí byť vo forme vyhlásenia alebo jednoznačného potvrdzujúceho opatrenia. GDPR ukladá prevádzkovateľom údajov zaťažujúce povinnosti zodpovednosti v súvislosti s dôkazmi o súlade, čo predstavuje zásadnú zmenu paradigmy v režime ochrany údajov. To zahŕňa vykonávanie posúdení vplyvu na ochranu údajov pre operácie spracovania s vyšším rizikom (napríklad tie, ktoré zahŕňajú spracovanie osobných údajov, ktoré by sa mohli použiť na páchanie finančných podvodov) a implementáciu ochrany údajov už od návrhu a štandardne.1

Tieto všeobecné pravidlá ochrany údajov dopĺňajú pravidlá bankového tajomstva a AML, ktoré budú musieť fintech spoločnosti dodržiavať pri poskytovaní služieb svojim zákazníkom.1

Pravidlá bankového tajomstva stanovujú, že sprístupnenie osobných údajov zákazníkov chránených bankovým tajomstvom (vrátane cezhraničných prevodov) je povolené len s predchádzajúcim súhlasom klienta alebo ak je sprístupnenie nevyhnutné na dosiahnutie jedného z nasledujúcich úkonov:

  • dodržiavanie zákonnej povinnosti, ktorá tieto povinnosti mlčanlivosti výslovne obmedzuje
  • súlad s požiadavkami súdnictva v trestnom konaní
  • dodržiavanie povinnosti zverejňovať informácie BOP, CMVM alebo daňovým úradom, keď tieto organizácie konajú v súlade so svojimi právomocami 1

Portugalský úrad na ochranu údajov (CNPD) v minulosti v konkrétnom prípade rozhodol, že všetky osobné údaje spracúvané bankou podliehajú bankovému tajomstvu.1

Pokiaľ ide o spracúvanie údajov o zákazníkoch na účely oznamovania AML, zverejnenie konkrétnych relevantných osobných údajov je založené na splnení zákonnej povinnosti, a preto nie je potrebné získavať súhlas dotknutej osoby. Keďže pojem „povolenie zákazníka“ podľa PSEMLF a právny rámec finančných inštitúcií sa líši od pojmu „súhlas“ podľa GDPR, mnohé banky a iné finančné inštitúcie sa rozhodnú zhromažďovať povolenia od zákazníkov na zverejnenie informácií o bankovom tajomstve v v kontexte ich všeobecných obchodných podmienok klienta.1

Ďalším dôležitým aspektom spracovania údajov v kontexte fintech biznisu je profilovanie zákazníkov a segmentácia podnikania, ako aj automatizované rozhodovanie založené na profilovaní. Nie sú povolené žiadne automatizované rozhodnutia, ktoré ovplyvňujú alebo významne ovplyvňujú dotknutú osobu, a to výlučne na základe automatizovaného spracovania údajov určeného na vyhodnotenie určitých osobných aspektov, ktoré sa jej týkajú.1

GDPR zaviedlo nové ustanovenia na riešenie rizík spojených s profilovaním a automatizovaným rozhodovaním. V zásade sa podľa GDPR môže tento typ rozhodovania uskutočniť iba vtedy, ak je rozhodnutie buď nevyhnutné na uzavretie alebo plnenie zmluvy, alebo ak je povolené právom EÚ alebo členského štátu, ktoré sa vzťahuje na prevádzkovateľa, alebo nakoniec založené na výslovnom súhlasné tváre. Ak platí jeden z týchto dôvodov, musia sa zaviesť dodatočné bezpečnostné opatrenia, ako aj sprístupnenie konkrétnych informácií o automatizovanom individuálnom rozhodovaní dotknutým osobám, pokiaľ ide o logiku, význam a zamýšľané dôsledky. V januári 2020 EDPB v reakcii na list od europoslankyne Sophie in 't Veldovej o nespravodlivých algoritmoch týkajúcich sa toho, či GDPR postačuje na ochranu dotknutých osôb pred nespravodlivým automatizovaným rozhodovaním, zdôraznil, že „prevádzkovatelia majú povinnosť zvážiť všetky potenciálne riziká, ktoré by použitie alebo vytvorenie špecifického algoritmu mohlo potenciálne spôsobiť pre práva a slobody jednotlivcov, a ak je to potrebné, prijať opatrenia na elimináciu týchto rizík.“1

Existujú aj ďalšie obmedzenia týkajúce sa používania špeciálnych kategórií údajov (ako sú zdravotné údaje alebo biometrické údaje) na akékoľvek spracovanie osobných údajov, čo môže v konečnom dôsledku ovplyvniť spôsob, akým fintech spoločnosti implementujú silné mechanizmy autentifikácie zákazníkov v súlade s regulačnými technickými štandardmi PSD II. , keďže regulačné technické normy vyžadujú v tejto súvislosti používanie biometrických údajov používateľov platobných služieb. CNPD dôsledne zastáva názor, že finančné údaje sú citlivé údaje v tom zmysle, že odhaľujú aspekty súkromného života osoby, a preto musia byť chránené portugalskou ústavou. Keďže EDPB zaobchádza s finančnými údajmi aj ako s vysoko osobnými údajmi, môže to v konečnom dôsledku ovplyvniť prísnosť technických a organizačných opatrení, ktoré kontrolóri a spracovatelia údajov prijímajú na ochranu údajov, ako aj potrebu podrobiť sa overovaniu údajov. posúdenie vplyvu na ochranu (DPIA) pred spracovaním údajov. Spracovanie finančných údajov teda môže viesť k potrebe DPIA v súlade s nariadením CNPD 1/2018, v ktorom sú uvedené činnosti spracovania, ktoré spadajú pod povinné DPIA, keďže nariadenie odkazuje na spracúvanie údajov čisto osobnej povahy. v štyroch z deviatich prípadov.1

Bez toho, aby bolo dotknuté vyššie uvedené, portugalská legislatíva implementujúca GDPR nadobudla účinnosť 8. augusta 2019. Zákon č.58/2019 prináša niektoré ďalšie úpravy a obmedzenia pravidiel stanovených v GDPR, najmä pokiaľ ide o spracúvanie osobných údajov zosnulých osôb. , príslušné doby uchovávania údajov a súhlas neplnoletých osôb so spracovaním údajov. Najmä a bez toho, aby bola dotknutá zásada obmedzenia účelu GDPR, zákon č. 58/2019 umožňuje prevádzkovateľom údajov alebo spracovateľom uchovávať osobné údaje až do uplynutia akýchkoľvek zákonných premlčacích lehôt, počas ktorých môže byť potrebné, aby údaje používali na preukázať dodržiavanie zákonných alebo zmluvných povinností.1

Zahraničné fintech platformy na portugalskom trhu

Fintech v Portugalsku

Fintech v iných krajinách

Poďme sa vám predstaviť

Fintech právnici v Portugalsku

Viacheslav Losev

Viacheslav Losev

Právna podpora pre FinTech a Blockchain projekty

Silvia Calls

Silvia Calls

Pracujeme pre medzinárodné malé a stredné podniky, start-upy a telekomunikačné spoločnosti

Kristina Berkes

Kristina Berkes

Účasť právnika v investičných venture fondoch, realizácia M&A venture obchodov v oblasti IT, podpory iGamingu a obchodného majetku

Note
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Návrh pre fintech startupy.

Rýchly štart za $399

Naše riešenie bez kódu vám umožňuje spustiť svoju crowdfundigovú platformu za $399 mesačne, pričom prvých dve týždne sú zadarmo na oboznámenie sa s platformou.