tr

Piyasa İncelemesi

Bu makale yasal tavsiye değildir.

Portekiz'de kişisel verilerin korunması

Ana Sayfa

Fintech şirketleri, büyük miktarlarda kişisel veriyi (KYC verileri dahil) toplar, kontrol eder ve işler ve sonuç olarak, yalnızca kurulu fintech şirketleri için geçerli olmayan Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki veri gizliliği kurallarına tabidir. AB'de değil, aynı zamanda AB'de müşterileri varsa AB dışında yerleşik şirketlere ve müşterilerin kişisel verilerinin işlenmesi, verilerden ödeme gerekip gerekmediğine bakılmaksızın bu veri sahiplerine hizmet sunulması bağlamında gerçekleştirilir. ders. Avrupa Veri Koruma Kurulu (EDPB), 16 Kasım 2018'de kabul edilen GDPR'nin bölgesel kapsamına ilişkin 3/2018 sayılı Kılavuzunda, AB'deki müşterileri hedefleme niyetinin, AB bölgesi dışında kurulan kuruluşların tabi olup olmadığını değerlendirmenin anahtarı olduğunu açıklığa kavuşturmuştur. GDPR'ye.1

Bazı durumlarda kişisel verilerin işlenmesi, müşterinin rızasını gerektirebilir. Onayın bir beyan veya açık bir onaylayıcı eylem şeklinde olması gerektiğinden, önceden işaretlenmiş izin veya devre dışı bırakma alanlarına artık izin verilmeyecektir. GDPR, veri koruma rejiminde büyük bir paradigma değişikliğini temsil eden uyum kanıtıyla ilgili olarak veri denetleyicilerine külfetli hesap verebilirlik yükümlülükleri getirmektedir. Bu, daha yüksek riskli işleme operasyonları (finansal dolandırıcılık yapmak için kullanılabilecek kişisel verilerin işlenmesini içerenler gibi) için veri koruma etki değerlendirmelerinin yürütülmesini ve tasarım ve varsayılan olarak veri korumanın uygulanmasını içerir.1

Bu genel veri koruma kuralları, fintech şirketlerinin müşterilerine hizmet sunarken uyması gereken banka gizliliği ve AML kuralları ile tamamlanmaktadır.1

Banka gizliliği kuralları, müşterilerin banka gizliliği ile korunan kişisel verilerinin ifşasına (sınır ötesi transferler dahil) yalnızca müşterinin önceden izni ile veya ifşanın aşağıdaki eylemlerden birinin gerçekleştirilmesi için gerekli olması durumunda izin verildiğini belirtir:

  • bu gizlilik görevlerini açıkça sınırlayan yasal bir yükümlülüğe uygunluk
  • ceza yargılamasında yargının gerekliliklerine uygunluk
  • BOP, CMVM veya vergi makamlarına yetkileri dahilinde hareket ettiklerinde bilgileri açıklama yükümlülüğüne uygunluk 1

Geçmişte, Portekiz Veri Koruma Kurumu (CNPD), belirli bir davada, bir banka tarafından işlenen tüm kişisel verilerin banka gizliliğine tabi olduğuna hükmetmişti.1

AML raporlaması amacıyla müşteri verilerinin işlenmesi ile ilgili olarak, belirli ilgili kişisel verilerin açıklanması, yasal bir yükümlülüğün yerine getirilmesine dayanmaktadır ve bu nedenle veri sahibinin rızasının alınmasına gerek yoktur. PSEMLF kapsamındaki "müşteri izni" kavramı ve finansal kuruluşların yasal çerçevesi, GDPR kapsamındaki "rıza" kavramından farklı olduğundan, birçok banka ve diğer finansal kuruluş, banka gizliliği bilgilerinin ifşası için müşteri izinlerini toplamayı tercih etmektedir. müşterinin genel hüküm ve koşulları bağlamında.1

Fintech işi bağlamında veri işlemenin bir diğer önemli yönü, profil oluşturmaya dayalı otomatik karar vermenin yanı sıra müşteri profili oluşturma ve iş segmentasyonudur. Yalnızca veri sahibini ilgilendiren belirli kişisel yönleri değerlendirmek için tasarlanmış otomatik veri işlemeye dayalı olarak, veri sahibini etkileyen veya önemli ölçüde etkileyen hiçbir otomatik karara izin verilmez.1

GDPR, profil oluşturma ve otomatik karar verme ile ilişkili riskleri ele almak için yeni hükümler getirdi. Temel olarak, GDPR'ye göre, bu tür bir karar verme, yalnızca kararın ya sözleşmenin yapılması veya ifası için gerekliyse ya da kontrolör için geçerli olan AB veya Üye Devlet kanunları tarafından yetkilendirildiyse veya son olarak açık rıza yüzleri. Bu gerekçelerden biri geçerliyse, ek güvenlik önlemlerinin yanı sıra mantık, anlam ve amaçlanan sonuçlarla ilgili olarak etkilenen veri sahiplerine otomatik bireysel karar verme hakkında belirli bilgilerin ifşa edilmesi gerekir. Ocak 2020'de, Avrupa Parlamentosu Üyesi Sophie in 't Veld'den, GDPR'nin veri konularını haksız otomatik karar verme sürecinden korumak için yeterli olup olmadığına ilişkin adil olmayan algoritmalar üzerine yazdığı bir mektuba yanıt olarak, EDPB, "denetleyicilerin tüm olası belirli bir algoritmanın kullanılmasının veya oluşturulmasının kişilerin hak ve özgürlükleri için potansiyel olarak oluşturabileceği riskleri ve gerekirse bu riskleri ortadan kaldıracak önlemleri alır.”1

Kişisel verilerin herhangi bir şekilde işlenmesi için özel veri kategorilerinin (sağlık verileri veya biyometrik veriler gibi) kullanımına ilişkin ek kısıtlamalar da vardır ve bu, nihai olarak fintech şirketlerinin düzenleyici teknik PSD II standartlarına uygun olarak güçlü müşteri kimlik doğrulama mekanizmalarını uygulama şeklini etkileyebilir. düzenleyici teknik standartlar, bu bağlamda ödeme hizmeti kullanıcılarının biyometrik verilerinin kullanılmasını gerektirdiğinden. CNPD, tutarlı bir şekilde finansal verilerin, bir kişinin özel yaşamının yönlerini ortaya koyması anlamında hassas veriler olduğuna ve bu nedenle Portekiz Anayasası tarafından korunması gerektiğine hükmetmiştir. Mali veriler aynı zamanda EDPB tarafından son derece kişisel veriler olarak ele alındığından, bu durum nihai olarak veri kontrolörlerinin ve işleyicilerin verileri korumak için aldığı teknik ve organizasyonel önlemlerin yanı sıra veri doğrulamasından geçme ihtiyacını etkileyebilir. veri işlemeden önce koruma etki değerlendirmesi (DPIA). Bu nedenle, mali verilerin işlenmesi, zorunlu DPIA kapsamına giren işleme faaliyetlerini listeleyen CNPD Yönetmeliği 1/2018 uyarınca bir DPIA ihtiyacına yol açabilir, çünkü Yönetmelik yalnızca bir kişinin verilerinin işlenmesine atıfta bulunur. Kişisel doğa. dokuz vakanın dördünde.1

Yukarıdakilere halel getirmeksizin, GDPR'yi uygulayan Portekiz mevzuatı 8 Ağustos 2019'da yürürlüğe girmiştir. 58/2019 sayılı Kanun, özellikle vefat eden kişilerin kişisel verilerinin işlenmesiyle ilgili olarak, GDPR'de belirtilen kurallara bazı ek ayarlamalar ve kısıtlamalar getirmektedir. , geçerli veri saklama süreleri ve reşit olmayanların veri işleme izni. Özellikle ve GDPR'nin amaç sınırlaması ilkesine halel getirmeksizin, 58/2019 sayılı Kanun, veri kontrolörlerinin veya işleyicilerin kişisel verileri, verileri aşağıdaki amaçlarla kullanmaları gerekebilecek yasal sınırlama sürelerinin sona ermesine kadar saklamalarına izin verir: yasal veya sözleşmeden doğan yükümlülüklere uygunluğu göstermek.1

Portekiz pazarındaki yabancı fintech platformları

Portekiz'de fintech

Fintech diğer ülkelerde

Seni tanıştıralım

Portekiz'deki Fintech Avukatları

Viacheslav Losev

Viacheslav Losev

FinTech ve Blockchain projeleri için yasal destek

Silvia Calls

Silvia Calls

Uluslararası küçük ve orta ölçekli işletmeler, yeni kurulan şirketler ve telekomünikasyon şirketleri için çalışıyoruz

Kristina Berkes

Kristina Berkes

Yatırım girişim fonlarına avukat olarak katılım, BT alanında M&A girişim anlaşmaları yürütme, iGaming ve işletme varlıkları için destek

Notlar
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Finans teknolojisi (fintech) alanında başlangıç yapacak olanlar için öneri:

$399 için hızlı başlangıç

Kod olmadan sunduğumuz çözüm, size kitle fonlaması platformunuzu aylık 399 dolara başlatmanıza olanak tanır; ayrıca platformla tanışmak için ilk iki hafta ücretsizdir.