sv

Marknadsöversyn

Den här artikeln är inte juridisk rådgivning.

Skydd av personuppgifter i Portugal

Hemsida

Fintech-företag samlar in, kontrollerar och bearbetar enorma mängder personuppgifter (inklusive KYC-data) och är som ett resultat föremål för datasekretessregler enligt General Data Protection Regulation (GDPR), som inte bara gäller etablerade fintech-företag. inom EU, men även till företag etablerade utanför EU om de har kunder inom EU och behandlingen av kunders personuppgifter sker i samband med att erbjuda tjänster till dessa registrerade, oavsett om betalning krävs från uppgifterna ämne. European Data Protection Board (EDPB) klargjorde i sin vägledning 3/2018 om det territoriella tillämpningsområdet för GDPR, antagen den 16 november 2018, att avsikten att rikta sig till kunder i EU är nyckeln till att bedöma om enheter etablerade utanför EU:s territorium omfattas av till GDPR.1

Vissa fall kan behandlingen av personuppgifter kräva klientens samtycke. De förmarkerade samtyckes- eller opt-out-fälten kommer inte längre att tillåtas, eftersom samtycke måste vara i form av ett uttalande eller en tydlig positiv åtgärd. GDPR lägger betungande ansvarsskyldighet på personuppgiftsansvariga i förhållande till bevis på efterlevnad, vilket representerar ett stort paradigmskifte i dataskyddsregimen. Detta inkluderar att genomföra dataskyddskonsekvensbedömningar för behandlingar med högre risk (såsom sådana som involverar behandling av personuppgifter som kan användas för att begå ekonomiska bedrägerier) och implementera dataskydd genom design och som standard.1

Dessa allmänna dataskyddsregler kompletteras med banksekretess och AML-regler som fintech-företag kommer att behöva följa när de tillhandahåller tjänster till sina kunder.1

Banksekretessreglerna anger att avslöjande av personuppgifter om kunder som skyddas av banksekretess (inklusive gränsöverskridande överföringar) endast är tillåtet med kundens förhandstillstånd eller om avslöjandet är nödvändigt för att utföra någon av följande åtgärder:

  • efterlevnad av en rättslig skyldighet som uttryckligen begränsar dessa tystnadsplikter
  • efterlevnad av rättsväsendets krav i brottmål
  • efterlevnad av skyldigheten att lämna ut information till BOP, CMVM eller skattemyndigheter när dessa organisationer agerar i enlighet med sina befogenheter 1

Tidigare beslutade den portugisiska dataskyddsmyndigheten (CNPD) i ett specifikt fall att alla personuppgifter som behandlas av en bank omfattas av banksekretess.1

När det gäller behandlingen av kunduppgifter för AML-rapporteringsändamål baseras utlämnandet av specifika relevanta personuppgifter på fullgörandet av en rättslig skyldighet och därför finns det inget behov av att inhämta samtycke från den registrerade. Eftersom begreppet "kundtillstånd" enligt PSEMLF och den rättsliga ramen för finansiella institutioner skiljer sig från begreppet "samtycke" enligt GDPR, väljer många banker och andra finansiella institutioner att samla in kundtillstånd för avslöjande av banksekretessinformation i i samband med kundens allmänna villkor.1

En annan viktig aspekt av databehandling inom fintech-verksamhet är kundprofilering och affärssegmentering, samt automatiserat beslutsfattande baserat på profilering. Inga automatiserade beslut är tillåtna som påverkar eller väsentligt påverkar den registrerade, baserat enbart på automatiserad databehandling utformad för att utvärdera vissa personliga aspekter som rör honom eller henne.1

GDPR införde nya bestämmelser för att hantera riskerna i samband med profilering och automatiserat beslutsfattande. I grund och botten, enligt GDPR, kan denna typ av beslutsfattande endast ske om beslutet antingen är nödvändigt för ingående eller fullgörande av avtalet, eller godkänt av EU- eller medlemsstatslagstiftning som är tillämplig på den registeransvarige, eller slutligen baserat på uttrycklig samtycke ansikten. Om någon av dessa grunder gäller måste ytterligare säkerhetsåtgärder vidtas, liksom avslöjande av specifik information om automatiskt individuellt beslutsfattande till berörda registrerade avseende logik, mening och avsedda konsekvenser. I januari 2020, som svar på ett brev från MEP Sophie in 't Veld om orättvisa algoritmer angående huruvida GDPR är tillräckligt för att skydda registrerade från orättvist automatiserat beslutsfattande, betonade EDPB att "kontrollanter har en skyldighet att överväga all potentiell risker som användningen eller skapandet av en specifik algoritm potentiellt skulle kunna skapa för individers rättigheter och friheter, och vid behov vidta åtgärder för att eliminera dessa risker."1

Det finns också ytterligare begränsningar för användningen av speciella kategorier av data (såsom hälsodata eller biometriska data) för all behandling av personuppgifter, vilket i slutändan kan påverka hur fintech-företag implementerar starka kundautentiseringsmekanismer i enlighet med tillsynstekniska PSD II-standarder. , eftersom tillsynstekniska standarder kräver användning av biometriska uppgifter från betaltjänstanvändare i detta sammanhang. CNPD har konsekvent slagit fast att finansiella uppgifter är känsliga uppgifter i den meningen att de avslöjar aspekter av en persons privatliv och därför måste skyddas av den portugisiska konstitutionen. Eftersom finansiella uppgifter också behandlas som mycket personliga uppgifter av EDPB, kan detta i slutändan påverka strängheten i de tekniska och organisatoriska åtgärder som personuppgiftsansvariga och processorer vidtar för att skydda uppgifter, såväl som behovet av att genomgå dataverifiering. skyddskonsekvensbedömning (DPIA) före databehandling. Behandlingen av finansiella uppgifter kan således ge upphov till behov av en DPIA i enlighet med CNPD-förordningen 1/2018, som listar de behandlingsaktiviteter som faller under den obligatoriska DPIA, eftersom förordningen avser behandling av uppgifter från en renodlad personlig natur. i fyra av nio fall.1

Utan att det påverkar det föregående trädde den portugisiska lagstiftningen som implementerar GDPR i kraft den 8 augusti 2019. I lag nr 58/2019 införs vissa ytterligare justeringar och begränsningar av reglerna i GDPR, särskilt när det gäller behandling av personuppgifter om avlidna personer. , tillämpliga datalagringsperioder och minderårigas samtycke till databehandling. Särskilt, och utan att det påverkar principen om begränsning av syftet i GDPR, tillåter lag nr 58/2019 personuppgiftsansvariga eller processorer att behålla personuppgifter tills utgången av eventuella lagstadgade preskriptionstider under vilka de kan behöva använda uppgifterna för att visa efterlevnad av rättsliga eller avtalsenliga förpliktelser.1

Utländska fintech-plattformar på den portugisiska marknaden

Fintech i Portugal

Fintech i andra länder

Låt oss presentera dig

Fintech Advokater i Portugal

Silvia Calls

Silvia Calls

Vi arbetar för internationella små och medelstora företag, nystartade företag och telekommunikationsföretag

Kristina Berkes

Kristina Berkes

Deltagande som jurist i investeringsriskfonder, genomföra M&A-affärer inom IT-området, support för iGaming och affärstillgångar

Denis Polyakov

Denis Polyakov

Omfattande juridiska tjänster för företag om företag, skatterätt, kryptovalutalagstiftning, investeringsverksamhet

Anteckningar
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Ett förslag för fintech-startups

Snabb start för $399

Vår lösning utan kod låter dig starta din crowdfunding-plattform för $399 per månad, med de första två veckorna gratis för att bekanta dig med plattformen.