vi

Đánh giá thị trường

Bài viết này không phải là lời khuyên pháp lý.

Bảo vệ dữ liệu cá nhân ở Bồ Đào Nha

Trang chủ

Các công ty fintech thu thập, kiểm soát và xử lý một lượng lớn dữ liệu cá nhân (bao gồm cả dữ liệu KYC) và do đó phải tuân theo các quy tắc về quyền riêng tư dữ liệu theo Quy định bảo vệ dữ liệu chung (GDPR), không chỉ áp dụng cho các công ty fintech đã thành lập. ở EU, mà còn cho các công ty được thành lập bên ngoài EU nếu họ có khách hàng ở EU và việc xử lý dữ liệu cá nhân của khách hàng được thực hiện trong bối cảnh cung cấp dịch vụ cho các đối tượng dữ liệu này, bất kể có yêu cầu thanh toán từ dữ liệu hay không môn học. Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) đã làm rõ trong Hướng dẫn tháng 3/2018 về phạm vi lãnh thổ của GDPR, được thông qua vào ngày 16 tháng 11 năm 2018, rằng ý định nhắm mục tiêu đến khách hàng ở Liên minh Châu Âu là chìa khóa để đánh giá xem các thực thể được thành lập bên ngoài lãnh thổ Liên minh Châu Âu có phải là đối tượng hay không đến GDPR.1

Trong một số trường hợp, việc xử lý dữ liệu cá nhân có thể cần có sự đồng ý của khách hàng. Các trường đồng ý hoặc từ chối được đánh dấu trước sẽ không còn được phép, vì sự đồng ý phải ở dạng tuyên bố hoặc hành động khẳng định rõ ràng. GDPR đặt ra các nghĩa vụ chịu trách nhiệm nặng nề đối với các bên kiểm soát dữ liệu liên quan đến bằng chứng tuân thủ, điều này thể hiện sự thay đổi mô hình chính trong chế độ bảo vệ dữ liệu. Điều này bao gồm tiến hành đánh giá tác động bảo vệ dữ liệu đối với các hoạt động xử lý rủi ro cao hơn (chẳng hạn như những hoạt động liên quan đến xử lý dữ liệu cá nhân có thể được sử dụng để thực hiện hành vi gian lận tài chính) và triển khai bảo vệ dữ liệu theo thiết kế và theo mặc định.1

Các quy tắc bảo vệ dữ liệu chung này được bổ sung bởi các quy tắc bảo mật ngân hàng và AML mà các công ty fintech sẽ phải tuân thủ khi cung cấp dịch vụ cho khách hàng của họ.1

Quy tắc bảo mật ngân hàng quy định rằng việc tiết lộ dữ liệu cá nhân của khách hàng được bảo vệ bởi bí mật ngân hàng (bao gồm cả chuyển khoản xuyên biên giới) chỉ được phép khi có sự cho phép trước của khách hàng hoặc nếu việc tiết lộ là cần thiết để đạt được một trong các hành động sau:

  • tuân thủ nghĩa vụ pháp lý giới hạn rõ ràng các nghĩa vụ bảo mật này
  • tuân thủ các yêu cầu của cơ quan tư pháp trong tố tụng hình sự
  • tuân thủ nghĩa vụ công bố thông tin với BOP, CMVM hoặc cơ quan thuế khi các tổ chức này hành động theo thẩm quyền của mình 1

Trước đây, Cơ quan bảo vệ dữ liệu Bồ Đào Nha (CNPD) đã ra phán quyết trong một trường hợp cụ thể rằng tất cả dữ liệu cá nhân do ngân hàng xử lý đều phải bảo mật ngân hàng.1

Đối với việc xử lý dữ liệu khách hàng cho mục đích báo cáo AML, việc tiết lộ dữ liệu cá nhân cụ thể có liên quan dựa trên việc thực hiện nghĩa vụ pháp lý và do đó không cần phải có sự đồng ý của chủ thể dữ liệu. Vì khái niệm “sự cho phép của khách hàng” theo PSEMLF và khuôn khổ pháp lý của các tổ chức tài chính khác với khái niệm “sự đồng ý” theo GDPR, nhiều ngân hàng và các tổ chức tài chính khác chọn thu thập sự cho phép của khách hàng để tiết lộ thông tin bí mật ngân hàng trong bối cảnh của các điều khoản và điều kiện chung của khách hàng.1

Một khía cạnh quan trọng khác của xử lý dữ liệu trong bối cảnh kinh doanh fintech là lập hồ sơ khách hàng và phân khúc kinh doanh, cũng như đưa ra quyết định tự động dựa trên hồ sơ. Không được phép đưa ra quyết định tự động nào ảnh hưởng hoặc ảnh hưởng đáng kể đến chủ thể dữ liệu, chỉ dựa trên quá trình xử lý dữ liệu tự động được thiết kế để đánh giá một số khía cạnh cá nhân liên quan đến người đó.1

GDPR đã đưa ra các điều khoản mới để giải quyết các rủi ro liên quan đến việc lập hồ sơ và ra quyết định tự động. Về cơ bản, theo GDPR, kiểu ra quyết định này chỉ có thể diễn ra nếu quyết định đó là cần thiết để ký kết hoặc thực hiện hợp đồng, hoặc được ủy quyền bởi luật của EU hoặc Quốc gia thành viên áp dụng cho bên kiểm soát, hoặc cuối cùng dựa trên quy định rõ ràng. khuôn mặt đồng ý. Nếu áp dụng một trong những căn cứ này, thì các biện pháp bảo mật bổ sung phải được áp dụng, cũng như tiết lộ thông tin cụ thể về việc ra quyết định cá nhân tự động cho các đối tượng dữ liệu bị ảnh hưởng về logic, ý nghĩa và hậu quả dự kiến. Vào tháng 1 năm 2020, để trả lời thư của MEP Sophie trong 't Veld về các thuật toán không công bằng liên quan đến việc liệu GDPR có đủ để bảo vệ các chủ thể dữ liệu khỏi việc đưa ra quyết định tự động không công bằng hay không, EDPB đã nhấn mạnh rằng "những người kiểm soát có nghĩa vụ xem xét tất cả các khả năng có thể xảy ra". những rủi ro mà việc sử dụng hoặc tạo ra một thuật toán cụ thể có khả năng tạo ra các quyền và tự do của các cá nhân, và nếu cần, hãy thực hiện các biện pháp để loại bỏ những rủi ro này.”1

Ngoài ra còn có các hạn chế bổ sung đối với việc sử dụng các loại dữ liệu đặc biệt (chẳng hạn như dữ liệu sức khỏe hoặc dữ liệu sinh trắc học) cho bất kỳ quá trình xử lý dữ liệu cá nhân nào, điều này cuối cùng có thể ảnh hưởng đến cách các công ty fintech triển khai cơ chế xác thực khách hàng mạnh mẽ theo các tiêu chuẩn kỹ thuật PSD II theo quy định. , vì các tiêu chuẩn kỹ thuật quy định yêu cầu sử dụng dữ liệu sinh trắc học của người dùng dịch vụ thanh toán trong bối cảnh này. CNPD đã nhất quán phán quyết rằng dữ liệu tài chính là dữ liệu nhạy cảm theo nghĩa nó tiết lộ các khía cạnh đời tư của một người và do đó phải được Hiến pháp Bồ Đào Nha bảo vệ. Vì dữ liệu tài chính cũng được EDPB coi là dữ liệu mang tính cá nhân cao, nên điều này cuối cùng có thể ảnh hưởng đến tính nghiêm ngặt của các biện pháp kỹ thuật và tổ chức mà bên kiểm soát và xử lý dữ liệu thực hiện để bảo vệ dữ liệu, cũng như nhu cầu phải trải qua quá trình xác minh dữ liệu. đánh giá tác động bảo vệ (DPIA) trước khi xử lý dữ liệu. Do đó, việc xử lý dữ liệu tài chính có thể dẫn đến nhu cầu về DPIA theo Quy định CNPD 1/2018, trong đó liệt kê các hoạt động xử lý thuộc DPIA bắt buộc, vì Quy định đề cập đến việc xử lý dữ liệu thuần túy. bản năng của một người. trong bốn trong số chín trường hợp.1

Không ảnh hưởng đến những điều đã nói ở trên, luật thực thi GDPR của Bồ Đào Nha có hiệu lực vào ngày 8 tháng 8 năm 2019. Luật số 58/2019 đưa ra một số điều chỉnh và hạn chế bổ sung đối với các quy tắc được nêu trong GDPR, đặc biệt liên quan đến việc xử lý dữ liệu cá nhân của những người đã qua đời. , thời gian lưu giữ dữ liệu hiện hành và sự đồng ý của trẻ vị thành niên đối với việc xử lý dữ liệu. Đặc biệt, và không ảnh hưởng đến nguyên tắc giới hạn mục đích của GDPR, Luật số 58/2019 cho phép bên kiểm soát hoặc xử lý dữ liệu giữ lại dữ liệu cá nhân cho đến khi hết thời hạn giới hạn theo luật định mà trong thời gian đó họ có thể cần sử dụng dữ liệu để thể hiện sự tuân thủ các nghĩa vụ pháp lý hoặc hợp đồng.1

Nền tảng fintech nước ngoài tại thị trường Bồ Đào Nha

Công nghệ tài chính ở Bồ Đào Nha

Fintech ở các quốc gia khác

Chúng tôi giới thiệu bạn

Luật sư Fintech ở Bồ Đào Nha

Silvia Calls

Silvia Calls

Chúng tôi làm việc cho các doanh nghiệp vừa và nhỏ quốc tế, các công ty khởi nghiệp và các công ty viễn thông

Kristina Berkes

Kristina Berkes

Tham gia với tư cách là luật sư trong các quỹ đầu tư mạo hiểm, thực hiện các thương vụ M&A trong lĩnh vực CNTT, hỗ trợ iGaming và tài sản kinh doanh

Denis Polyakov

Denis Polyakov

Dịch vụ pháp lý toàn diện cho doanh nghiệp về doanh nghiệp, luật thuế, luật tiền điện tử, hoạt động đầu tư

Ghi chú
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Một câu hỏi cho các start-up trong lĩnh vực công nghệ tài chính

Bắt đầu nhanh với $399

Giải pháp của chúng tôi không bao gồm mã nguồn cho phép bạn triển khai nền tảng gọi vốn cộng đồng của riêng bạn với giá 399 đô la mỗi tháng, trong đó hai tuần đầu tiên miễn phí để làm quen với nền tảng.