搜索:
Debevoise数据博客
欧盟

欧洲数据保护综述- 11月

由:而且

今年11月的主要收获包括:

  • 欧盟数字运营弹性法案金融服务公司——包括银行、保险公司和私募股权公司——应该开始评估他们需要做些什么来遵守最近敲定的《数字运营弹性法案》(DORA)中的广泛义务;
  • 关键基础设施的网络安全:企业应检查他们是否将被显著扩展的欧盟网络和信息系统指令(NIS2)所覆盖,或必须更新流程以遵守该指令,该指令涵盖了广泛的关键基础设施部门;
  • 直接营销:企业可能需要考虑:(i)鉴于法国CNIL对公用事业公司EDF处以60万欧元的罚款,特别是在依赖第三方同意进行直接营销的情况下,实施加强的数据经纪人尽职调查;以及(ii)他们关于数据来源的隐私通知披露是否需要更具体。对于CNIL来说,说数据是从一个专门从事数据丰富的组织收到的是不够准确的;
  • 跨境数据传输:没有充足性决定就将个人数据从英国转移到欧洲经济区以外司法管辖区的企业可能希望根据ICO的新评估工具审查其当前的转移风险评估,以确保它们符合监管机构的最新预期;
  • 面部识别:使用面部识别技术的实体应评估意大利新禁令对私人使用基于生物特征数据的面部识别系统的影响;
  • 隐私披露:西班牙数据保护局(AEPD)的一项52.5万欧元的执法行动强调,除其他外,:(i)隐私通知可能需要以多种语言提供;(ii)数据不应无限期保留;(iii)在个人可以行使其数据主体权利之前,企业应注意不要实施过于繁重的身份验证要求;
  • 第三方访问数据:英国数据保护机构ICO谴责英国教育部允许非法第三方访问学生数据,强调企业在谈判数据共享安排时需要特别小心,特别是涉及特殊类别的数据;
  • 内部策略和数据安全:在法国数据保护机构因通信平台Discord违反这一和其他数据保护规定而对其罚款80万欧元之后,仍在使用六字符密码的企业可能希望提高其密码复杂度要求;而且
  • 控制人约束公司规则:根据EDPB更新BCR申请程序的新建议,全球集团不妨考虑采用BCR的优点。

下文将介绍这些发展情况。

数字操作弹性法案即将出台

发生了什么事: 2022年11月28日,欧盟最终确定了《欧盟数字运营弹性法案》(“DORA”)。在两年的实施期之后,DORA将对几乎所有金融服务公司(包括银行、保险公司和私募股权公司)以及首次将由欧盟金融服务监管机构直接监管的关键服务提供商施加深远的运营弹性要求和管理监督要求。虽然该制度的各个方面,包括事件报告义务的细节,仍有待决定,但关键要求现已确定。例如,金融服务公司将被要求实施全面的ICT(信息和通信技术)风险管理框架,并审计ICT供应商风险,而关键的ICT服务提供商必须建立欧盟子公司,并必须配合相关监管机构的各种要求和询问。管理层还将面临新的全面和具体的义务,以批准、监督和管理与多拉相关的合规框架。

该怎么做:我们最近的博客深入探讨了企业需要做些什么来遵守DORA,但关键的结论是:

  • 对于金融服务公司——确定你是否被列为“金融实体”,如果是的话,开始制定合规之路:这可能是一项资源密集型的事业,需要整个业务,包括管理层的持续参与。
  • 对于ICT服务提供商——评估被指定的风险,并考虑针对金融实体的强制性合同条款可能如何“流动”,以及如何有必要更新政策和程序,无论这种风险是否存在。

批准新的关键基础设施网络规则

发生了什么事: 2022年11月28日,欧盟还完成了第二个网络和信息系统指令(“NIS2”)。NIS2将扩大适用性,旨在减少成员国实施现有NIS指令的差异,同时对被指定为关键基础设施的广泛实体施加更新的网络安全义务。主要义务将包括:(i)强制性的两阶段事件报告;(ii)加强保安规定;(iii)强制管理机构监督网络安全风险管理措施的实施。

英国政府随后于2022年11月30日发布了一项公告关于其扩大后的措施,这些措施尤其关注关键的数字基础设施。

该怎么做:浏览我们的博客查阅有关NIS2的范围、适用性和处罚的详细指引,包括如何准备修订后的事件报告、安全和管理监督义务。

法国CNIL因营销和其他违反GDPR的行为对法国电力公司处以60万欧元的罚款

发生了什么事: 2022年11月24日,法国CNIL罚款公用事业公司EDF 60万欧元,因未能:

  • 在进行直接营销前获得个人的有效同意,包括未能采取足够措施确保第三方数据经纪人已获得有效同意;
  • 提供关于每项处理活动的合法基础的具体信息、保留期限以及关于个人数据来源的具体信息(EDF仅提到数据是从“专门从事数据丰富的组织”收集的);
  • 未能确保个人能够适当行使其权利,包括未在规定的时间内响应GDPR要求;
  • 未能尊重个人的访问权和反对权,包括提供关于数据来源的不准确信息,以及对接受营销传播的反对意见不予回应;而且
  • 未能确保个人数据的安全,因为EDF访问客户区域的密码以不安全的方式存储,或未经腌制而进行哈希。

该怎么做∶企业,特别是受国家数据保护委员会管辖的企业,可考虑:(i)采取步骤,核实从数据经纪公司取得个人资料的程序;(ii)根据GDPR对处理数据主体请求的政策和程序进行审计;及(iii)根据CNIL最新指南

英国ICO为第46条转让提供了新的风险评估工具

发生了什么事: 2022年11月17日,英国ICO发布更新的指导关于国际数据传输。英国ICO的立场是,所有在没有充足性决定的情况下向司法管辖区传输的国际数据都需要进行风险评估,包括企业依赖已批准的标准合同条款。EDPB指南设想了一种相对形式主义的风险评估,包括将出口国的法律和实践与进口国的法律和实践进行比较。英国ICO的最新指南允许进行全面的和特定于转让的风险评估,重点是“转让是否显著增加隐私或其他人权侵犯的风险”(我们的重点)。

为了帮助企业进行这种新形式的风险评估,英国ICO发布了一份转移风险评估工具,其中有六个问题来指导他们完成这个过程。

该怎么做:寻求将英国GDPR涵盖的数据转移到没有英国充分性决定的司法管辖区的实体的企业应考虑使用英国ICO的新风险评估工具是否有助于确保英国GDPR合规性。然而,如果数据传输也受欧盟GDPR的约束,企业应该考虑欧盟监管机构可能认为英国ICO的风险评估工具不够充分的风险,以及是否需要进行更广泛的审查。

意大利禁止私人使用面部识别技术

发生了什么事: 2022年11月14日,意大利加兰特宣布在新法律通过之前,至少在2023年底之前,禁止使用使用生物特征数据的现有和新的面部识别系统。的Garante所述“暂停是因为有必要根据比例原则,规范与面部识别有关的资格要求、条件和保证。”该禁令是在最近涉及使用面部识别技术的公共部门丑闻之后出台的。尽管如此,法庭诉讼和执法目的仍然有公共利益豁免。

该怎么做在意大利运营的使用面部识别技术的企业应评估持续使用的合法性,并可能寻求使用此类系统的替代方案。

最近52.5万欧元的AEDP罚款强调了清晰度和可理解性的重要性,包括多语言隐私披露的潜在需求

发生了什么事:西班牙数据主管机构AEPD罚款该公司运营多家成人内容网站,因多次违反GDPR而被罚款52.5万欧元,这些违规行为与缺乏清晰易懂的隐私披露、不完善的同意流程以及年龄验证方面的缺陷有关。

针对该公司处理14岁以下未成年人个人信息的指控进行的调查导致了11种不同的隐私侵犯,包括父母隐私控制设置断开链接、无限期数据保留做法、未经适当同意的数据共享,以及为行使数据主体权利而要求繁重的身份验证。

最后,尽管这些网站主要与西班牙以外的网站进行业务往来,但AEPD特别批评隐私政策只有英文,因此在西班牙不“容易理解”。

该怎么做:企业应考虑简化隐私披露和同意流程,并确保在其运营的所有司法管辖区范围内的可理解性。这可能需要为不同的受众提供多种语言的通知。这笔罚款也提醒人们,GDPR并未设想无限期保留数据。

ICO谴责教育部允许赌博公司使用学习记录数据库来验证客户的年龄

发生了什么事当前位置一家就业筛选公司在14个月内对教育部的学习记录数据库进行了2.2万次搜索,该数据库包含约2800万名14岁及以上的成人和儿童的信息。该公司利用这些数据为博彩公司提供年龄验证服务。

该部数据库储存了个人和特殊类别数据,包括全名、出生日期、性别、电子邮件地址和国籍。收集和处理这些数据的目的是为了检查学生的学历和资助资格。该部允许筛选公司访问数据库,因为它声称自己是授权的培训提供商。

条例正式谴责本署非法与第三者分享有关资料,并在未经资料当事人同意的情况下,容许第三者进一步处理有关资料。英国信息办公室表示,如果该部门不是一家公共机构,将因这些违规行为对其处以1003万英镑的罚款。

该怎么做:企业应确保有适当的政策来审查第三方对数据的访问,并有足够的审查机制来确保第三方处理数据的合法基础,并防止供应商滥用数据。

法国CNIL因GDPR数据保留和安全漏洞对Discord罚款80万欧元

发生了什么事:法国CNIL罚款美国通讯公司Discord Inc. 80万欧元收购:

  • 没有书面的数据保留政策,而该公司有超过200万法国用户的账户已经不活跃超过三年;
  • 未能向用户提供关于数据保留期的清晰和完整的信息;
  • 在默认情况下,没有通过设置允许其他用户继续听到点击“X”按钮退出Discord应用程序的用户来确保数据保护;
  • 只要求较弱的密码安全性(不超过六个字符);而且
  • 鉴于处理的数据量,包括未成年人的数据量,未能进行数据保护影响评估(“DPIA”)。

该怎么做:根据CNIL的意见,企业可考虑:(i)检讨及应用其资料保留政策,并清楚告知使用者适当的资料保留期限;(二)加强认证程序;和(iii)审查EDPB DPIA指南yann padova确保在任何有需要的地方进行。

环境保护署更新公司约束规则的申请程序

发生了什么事:为了促进从欧洲经济区国家到非欧洲经济区国家的集团内数据传输,GDPR为集团成员提供了在其他第三国数据传输工具(如标准合同条款)中订立约束性公司规则(BCR)的可能性。用于控制器的bcr帧从GDPR领土范围覆盖的控制器组成员传输到其领土范围之外的控制器或处理器组成员。欧洲数据保护委员会(EDPB)根据现有的关于标准申请表和控制者bcr内容的指导建议草案,制定了旨在提高效率和一致性的审查过程并不总是顺利。

该怎么做:根据新流程,在欧洲经济区内外的实体之间定期进行集团内数据传输的企业可能希望考虑采用bcr的有效性。

订阅数据博客,请点击这里

本文作者要感谢法律培训生Sophie Michalski、Clara Montillet和Maria Santos以及法律助理Anya C. Allen、Melyssa Eigen、David Z. Rochelle和Ned Terrace对本文的贡献。

作者

Robert Maddox是伦敦Debevoise & Plimpton LLP的数据战略与安全业务和白领与监管辩护组的国际法律顾问和成员。他的工作重点是网络安全事件准备和响应、数据保护和战略、内部调查、合规性审查和监管防御。2021年,罗伯特被《全球数据评论》评为“40岁以下40人”。他被《美国法律500强》(The Legal 500 US, 2022)描述为网络法领域的“新星”。可以通过rmaddox@debevoise.com与他联系。

作者

Friedrich Popp博士是法兰克福办事处的国际法律顾问,也是本所诉讼部门的成员。他的业务重点是仲裁、诉讼、内部调查、公司法、数据保护和反洗钱。此外,他在并购、私募股权、银行和资本市场方面经验丰富,并发表了多篇关于银行法的文章。

作者

范妮·戈捷(Fanny Gauthier)是德贝沃斯律师事务所(Debevoise)诉讼部的助理律师,总部设在巴黎办事处。Gauthier女士是该公司国际争议解决小组的成员,也是该公司数据战略与安全实践的成员。她的业务重点是复杂的商业诉讼、国际仲裁和数据保护。可以通过fgauthier@debevoise.com与她联系。

作者

斯蒂芬妮·d·托马斯(Stephanie D. Thomas)是诉讼部门的助理,也是该公司数据战略与安全组和白领与监管辩护组的成员。可以通过sdthomas@debevoise.com与她联系。

作者

特里斯坦·洛克伍德(Tristan Lockwood)是该公司数据战略与安全业务的合伙人。可以通过tlockwood@debevoise.com与他联系。

相关的帖子

Baidu
map