金融科技公司收集、控制和处理大量个人数据(包括 KYC 数据),因此受《通用数据保护条例》(GDPR) 下的数据隐私规则的约束,该条例不仅适用于成熟的金融科技公司。在欧盟,也适用于在欧盟以外成立的公司,如果他们在欧盟有客户,并且处理客户的个人数据是在向这些数据主体提供服务的情况下进行的,无论是否需要从数据中支付费用主题。欧洲数据保护委员会 (EDPB) 在其于 2018 年 11 月 16 日通过的关于 GDPR 领土范围的指南 3/2018 中阐明了以欧盟客户为目标的意图是评估在欧盟领土以外设立的实体是否受到约束的关键到 GDPR。1
在某些情况下,个人数据的处理可能需要客户的同意。预先标记的同意或选择退出字段将不再被允许,因为同意必须以声明或明确的平权行动的形式出现。 GDPR 在合规证据方面对数据控制者施加了繁重的问责义务,这代表了数据保护制度的重大范式转变。这包括对高风险处理操作(例如涉及处理可用于实施金融欺诈的个人数据的操作)进行数据保护影响评估,并通过设计和默认实施数据保护。1
这些一般数据保护规则得到银行保密和反洗钱规则的补充,金融科技公司在向客户提供服务时必须遵守这些规则。1
银行保密规则规定,只有在获得客户事先许可或为实现以下其中一项行动而有必要披露的情况下,才允许披露受银行保密保护的客户的个人数据(包括跨境转账):1
过去,葡萄牙数据保护局(CNPD)曾在一个具体案例中裁定,银行处理的所有个人数据均须遵守银行保密规定。1
关于为反洗钱报告目的处理客户数据,具体相关个人数据的披露是基于履行法律义务,因此无需征得数据主体的同意。由于 PSEMLF 和金融机构法律框架下的“客户许可”概念与 GDPR 下的“同意”概念不同,许多银行和其他金融机构选择收集客户许可以披露银行保密信息。他们的一般条款和客户条件的上下文。1
金融科技业务背景下数据处理的另一个重要方面是客户分析和业务细分,以及基于分析的自动决策制定。不允许仅基于旨在评估与他或她有关的某些个人方面的自动数据处理而影响或显着影响数据主体的自动决策。1
GDPR 引入了新条款来解决与分析和自动决策相关的风险。基本上,根据 GDPR,这种类型的决策只有在该决策对于订立或履行合同是必要的,或由适用于控制者的欧盟或成员国法律授权,或最终基于明确的同意面孔。如果这些理由之一适用,则必须采取额外的安全措施,并向受影响的数据主体披露有关逻辑、含义和预期后果的自动个人决策的具体信息。 2020 年 1 月,在回应 MEP Sophie in 't Veld 关于 GDPR 是否足以保护数据主体免受不公平自动决策影响的不公平算法的一封信中,EDPB 强调“控制者有义务考虑所有潜在的使用或创建特定算法可能会为个人的权利和自由带来风险,并在必要时采取措施消除这些风险。”1
对于使用特殊类别的数据(例如健康数据或生物识别数据)进行任何个人数据处理,也有额外的限制,这可能最终会影响金融科技公司如何根据监管技术 PSD II 标准实施强大的客户身份验证机制。 ,因为监管技术标准要求在这种情况下使用支付服务用户的生物识别数据。 CNPD 一直裁定,财务数据是敏感数据,因为它揭示了一个人私人生活的各个方面,因此必须受到葡萄牙宪法的保护。由于财务数据也被 EDPB 视为高度个人化的数据,这最终可能会影响数据控制者和处理者为保护数据而采取的技术和组织措施的严格性,以及是否需要进行数据验证。数据处理之前的保护影响评估 (DPIA)。因此,根据 CNPD 第 1/2018 号条例,财务数据的处理可能需要 DPIA,该条例列出了属于强制性 DPIA 的处理活动,因为该条例指的是纯粹的数据处理个人性质。在九个案例中的四个。1
在不影响前述规定的情况下,葡萄牙实施 GDPR 的立法于 2019 年 8 月 8 日生效。第 58/2019 号法律对 GDPR 中规定的规则进行了一些额外的调整和限制,特别是在处理已故人员的个人数据方面。 、适用的数据保留期和未成年人对数据处理的同意。特别是,在不影响 GDPR 目的限制原则的情况下,第 58/2019 号法律允许数据控制者或处理者保留个人数据,直到他们可能需要使用数据的任何法定时效期届满证明遵守法律或合同义务。1
为企业、税法、加密货币立法、投资活动提供全面的法律服务
我们为国际中小型企业、初创企业和电信公司工作
以律师身份参与风险投资基金,在 IT 领域进行并购风险交易,支持 iGaming 和商业资产
