Ogledate si lahko pravila in predpise v drugih jurisdikcijah.
Fintech podjetja zbirajo, nadzorujejo in obdelujejo ogromne količine osebnih podatkov (vključno s podatki KYC) in posledično zanje veljajo pravila o zasebnosti podatkov v skladu s Splošno uredbo o varstvu podatkov (GDPR), ki ne velja samo za uveljavljena fintech podjetja. v EU, ampak tudi podjetjem s sedežem zunaj EU, če imajo stranke v EU in se obdelava osebnih podatkov strank izvaja v okviru ponujanja storitev tem posameznikom, ne glede na to, ali se od podatkov zahteva plačilo. predmet. Evropski odbor za varstvo podatkov (EDPB) je v svojih Smernicah 3/2018 o ozemeljskem obsegu GDPR, sprejetih 16. novembra 2018, pojasnil, da je namen ciljanja na stranke v EU ključnega pomena za oceno, ali so subjekti s sedežem zunaj ozemlja EU predmet GDPR.1
Nekaterih primerih je za obdelavo osebnih podatkov lahko potrebna privolitev stranke. Vnaprej označena polja za soglasje ali zavrnitev ne bodo več dovoljena, saj mora biti soglasje v obliki izjave ali jasnega pritrdilnega dejanja. GDPR upravljavcem podatkov nalaga obremenjujoče obveznosti odgovornosti v zvezi z dokazi o skladnosti, kar predstavlja velik premik paradigme v režimu varstva podatkov. To vključuje izvajanje ocen učinka na varstvo podatkov za postopke obdelave z večjim tveganjem (kot so tisti, ki vključujejo obdelavo osebnih podatkov, ki bi se lahko uporabili za finančno goljufijo) ter izvajanje vgrajenega in privzetega varstva podatkov.1
Ta splošna pravila o varstvu podatkov dopolnjujejo pravila o bančni tajnosti in AML, ki jih bodo morala fintech podjetja upoštevati pri zagotavljanju storitev svojim strankam.1
Pravila bančne tajnosti določajo, da je razkritje osebnih podatkov strank, ki so varovani z bančno tajnostjo (vključno s čezmejnimi prenosi), dovoljeno le s predhodnim dovoljenjem stranke ali če je razkritje potrebno za dosego enega od naslednjih dejanj:
V preteklosti je portugalski organ za varstvo podatkov (CNPD) v posebnem primeru odločil, da so vsi osebni podatki, ki jih obdeluje banka, bančna tajnost.1
Kar zadeva obdelavo podatkov o strankah za namene poročanja o preprečevanju pranja denarja, razkritje določenih ustreznih osebnih podatkov temelji na izpolnjevanju zakonske obveznosti in zato ni treba pridobiti soglasja posameznika, na katerega se nanašajo osebni podatki. Ker se koncept »dovoljenja stranke« v skladu s PSEMLF in pravnim okvirom finančnih institucij razlikuje od koncepta »soglasja« v skladu z GDPR, se številne banke in druge finančne institucije odločijo zbirati dovoljenja strank za razkritje informacij o bančni tajnosti v kontekstu njihovih splošnih pogojev stranke.1
Drug pomemben vidik obdelave podatkov v kontekstu fintech poslovanja je profiliranje strank in segmentacija poslovanja ter avtomatizirano odločanje na podlagi profiliranja. Niso dovoljene nobene avtomatizirane odločitve, ki bi vplivale ali bistveno vplivale na posameznika, na katerega se nanašajo osebni podatki, izključno na podlagi avtomatizirane obdelave podatkov, namenjene ovrednotenju določenih osebnih vidikov v zvezi z njim.1
GDPR je uvedla nove določbe za obravnavo tveganj, povezanih s profiliranjem in avtomatiziranim odločanjem. V bistvu se v skladu z GDPR lahko ta vrsta odločanja izvede le, če je odločitev potrebna za sklenitev ali izvajanje pogodbe ali dovoljena z zakonodajo EU ali držav članic, ki se uporablja za upravljavca, ali končno temelji na izrecnem soglasni obrazi. Če velja eden od teh razlogov, je treba uvesti dodatne varnostne ukrepe, kakor tudi razkritje posebnih informacij o avtomatiziranem individualnem odločanju prizadetim posameznikom glede logike, pomena in predvidenih posledic. Januarja 2020 je EDPB v odgovoru na pismo poslanke Evropskega parlamenta Sophie in 't Veld o nepoštenih algoritmih glede tega, ali GDPR zadostuje za zaščito posameznikov, na katere se nanašajo osebni podatki, pred nepoštenim avtomatiziranim odločanjem poudaril, da so "upravljavci dolžni upoštevati vse potencialne tveganja, ki bi jih uporaba ali izdelava določenega algoritma potencialno lahko ustvarila za pravice in svoboščine posameznikov, ter po potrebi sprejeti ukrepe za odpravo teh tveganj.«1
Obstajajo tudi dodatne omejitve glede uporabe posebnih kategorij podatkov (kot so zdravstveni podatki ali biometrični podatki) za kakršno koli obdelavo osebnih podatkov, kar lahko na koncu vpliva na to, kako fintech podjetja izvajajo močne mehanizme za avtentikacijo strank v skladu z regulativnimi tehničnimi standardi PSD II. , saj regulativni tehnični standardi v tem kontekstu zahtevajo uporabo biometričnih podatkov uporabnikov plačilnih storitev. CNPD je dosledno odločila, da so finančni podatki občutljivi podatki v smislu, da razkrivajo vidike zasebnega življenja osebe in jih je zato treba zaščititi s portugalsko ustavo. Ker EDPB tudi finančne podatke obravnava kot zelo osebne podatke, lahko to na koncu vpliva na strogost tehničnih in organizacijskih ukrepov, ki jih izvajajo upravljavci in obdelovalci podatkov za zaščito podatkov, ter na potrebo po preverjanju podatkov. presojo vplivov na zaščito (DPIA) pred obdelavo podatkov. Tako lahko obdelava finančnih podatkov povzroči potrebo po DPIA v skladu z Uredbo CNPD 1/2018, ki navaja dejavnosti obdelave, ki spadajo v obvezno DPIA, saj se uredba nanaša na obdelavo podatkov izključno osebne narave. v štirih od devetih primerov.1
Brez poseganja v zgoraj navedeno je portugalska zakonodaja o izvajanju GDPR začela veljati 8. avgusta 2019. Zakon št.58/2019 uvaja nekatere dodatne prilagoditve in omejitve pravil iz GDPR, zlasti glede obdelave osebnih podatkov umrlih oseb. , veljavna obdobja hrambe podatkov in privolitev mladoletnih oseb v obdelavo podatkov. Zlasti in brez poseganja v načelo omejitve namena GDPR, zakon št. izkazati skladnost z zakonskimi ali pogodbenimi obveznostmi.1
Tuje fintech platforme na portugalskem trgu
Celovite pravne storitve za podjetja na področju podjetniškega, davčnega prava, zakonodaje o kriptovalutah, naložbenih dejavnostih
Delamo za mednarodna mala in srednja podjetja, start-upe in telekomunikacijska podjetja
Pravna podpora za FinTech in Blockchain projekte
