今年2月的主要收获包括:
- 执行:使用第三方数据进行营销的企业应根据英国法庭限制ICO在上诉时向益百利发出的执行通知,审查各方收集和处理数据所依赖的法律依据;
- 数字服务法在欧盟委员会批评一份报告缺乏细节后,受保护实体应确保他们遵守报告准则和期望,因为合规截止日期开始过去;
- 教育局工作计划公司应监测新的EDPB指南和工具的持续推出,作为其2023/24工作计划的一部分,这些指南和工具可能会澄清未解决的合规问题,包括关于评估合法利益的即将到来的方向以及GDPR与欧盟人工智能法案之间的相互作用;
- 第三国数据传输新的EDPB指南明确了在欧盟以外建立的涵盖gdpr的数据进口商仍必须实施第三国数据传输机制;
- 人工智能企业应该注意到CNIL对人工智能问题日益增长的兴趣,因为它创建了一个专门的人工智能部门,并在加强执法活动后发布了有关学习数据库的建议;
- 游戏拥有18岁以下玩家的游戏开发者应审查ICO的最新指导,概述游戏环境中的儿童数据保护要求,并注意识别未成年用户的义务,营销限制以及避免“轻推”技术的建议;
- 查阅资料要求:德国的控制者可能能够在德国上诉法院裁定发现此类请求必须出于数据保护利益的动机后,调查数据访问请求的合法性-这是辩论双方越来越多的案例中的另一个;
- 累计违规鉴于挪威DPA最近对一家健身连锁店在处理数据访问和删除请求、保留和数据传输方面的轻微违规行为处以近100万欧元的罚款,组织应该意识到有多个轻微违规GDPR事件所带来的执法风险;
- 饼干的墙壁以用户同意数据处理为条件的企业应考虑丹麦数据保护局最近的指导,以确保他们以合理的价格(如果有的话)提供合理的替代方案;和
- 适龄的人工智能:拥有未成年用户的人工智能企业可能需要重新考虑意大利Garante针对一家美国人工智能机器人公司的命令中详细的年龄限制,该公司不得不停止在意大利的运营。
这些发展,以及更多,将在下面介绍。
英国法庭限制ICO执行命令,但部分支持合法依据的反对意见
发生了什么事:法庭拒绝了英国ICO于2020年10月对益百利(Experian)发出的执行通知的某些方面,益百利是一家信用参考机构,持有和处理与几乎整个英国成年人口有关的数据。
就像我们之前说的讨论了, ICO对益博睿依赖合法利益作为直接营销数据处理的合法基础提出了质疑,其隐私通知不透明,益博睿根本没有向数百万英国居民提供这些信息。
法庭同意ICO的意见,即如果益博睿基于同意从第三方处获取个人数据用于营销目的,则该同意将不再被告知,撤销同意也很复杂,尽管益博睿此后改变了这一做法。
然而,法庭不同意ICO的意见,并发现将信用参考数据用于直接营销目的本身并不公平,而且益百利的隐私通知是足够透明的。它还发现,向数百万数据主体提供隐私通知的命令不成比例。ICO可以上诉。
该怎么做尽管如此,企业可能希望审查从第三方收集数据的法律依据,认识到在许多情况下,同意可能不够充分或在操作上具有挑战性。在某些情况下,接收实体可以依靠合法利益。
《数字服务法案》的报告截止日期导致了第一次警告到一个在线平台
发生了什么事2023年2月17日标志着《数字服务法案》(DSA)的第一个截止日期,该法案要求所有“超大型”在线平台和搜索引擎报告平均每月活跃用户数据、广告收入和政治广告购买等数据点。所有涵盖的实体都按时发布了这一基准透明度报告,并使用了一个通用模板。然而,欧盟内部市场专员提高了一个在线平台提交的“令人失望”的报告“缺乏数据,没有关于赋予事实核查社区权力的承诺的信息”,这引起了人们的严重担忧,而其他领导层则希望,鉴于已确定的来自俄罗斯的虚假信息威胁,他们“更认真地履行自己的义务”。
本月早些时候,欧盟委员会发布了DSA报告指导对于被覆盖的实体,在其他主题中,澄清谁有资格成为服务的“活跃接受者”,例如,通过在该定义中包括那些能够访问内容而不是注册用户和平台上的第三方广告商的人,同时为单个用户打折机器人,抓取器和复制设备。
该怎么做:受DSA透明度报告义务约束的实体应参考新指南,并在8月的下一个报告截止日期之前牢记立法要求,并可能希望审查我们之前概述的DSA义务和截止日期的更广泛大纲在这里.
EDPB的新工作计划优先考虑新技术和监管当局之间的合作
发生了什么事: EDPB通过了其工作计划为2023/24。其总体目标以最近的指导草案和最终定稿为基础,包括:
- 开发实施工具和关键概念指导。EDPB的目标是制定工具,以协助GDPR的实施,并就违规通知和合法利益的法律依据发布进一步的指导。
- 基本权利方针要新技术.为了追求欧盟的共同方法,EDPB将发布关于执法部门使用面部识别的指南,区块链,以及人工智能法案和GDPR之间的相互作用。
- 促进各国监管机构之间的协调。随着多司法管辖区数据保护问题的扩大,依赖牵头监管机构的机会可能会增加狭窄的, EDPB强调各国监管机构之间决策的一致性,其中包括制定需要合作阶段的批准程序和设立特别工作组。
- 一种全球性的方法。为了在欧盟境外促进GDPR数据保护,EDPB将提供关于数据传输工具使用的指导,包括作为转移工具的认证,并就与政府访问个人数据有关的问题与第三方监管机构进行接触。
该怎么做公司可能希望根据最新工作计划中提到的草案和新通过的EDPB指导方针审查现有程序,并根据监管机构的执法趋势,特别是适用于新兴技术的操作,使用饼干,社交媒体平台界面中的欺骗性设计模式.
新通过的EDPB指引澄清了第三国个人资料转移的准则
发生了什么事:经公众谘询后,市建局采纳了的指导方针GDPR地域范围与数据向第三国传输限制的相互作用。
该指南澄清了在欧盟以外建立的数据进口控制者和处理者,但其处理被GDPR的域外范围所覆盖,必须实施第三国数据传输机制,就像在欧盟境内建立的数据出口控制者和处理者必须这样做一样。
由于GDPR没有定义“向第三国转移个人数据”,新指南确定了三个累积标准,以确定需要特定条件的国际转移,例如提供适当的保障措施。
即,(i)如果控制者或处理者对给定的处理受GDPR的约束,以及(ii)个人数据出口到第三国进口商,(iii)无论该进口商是否对给定的处理受GDPR的约束,都必须实施适当的第三国数据传输机制。
该怎么做建立在欧盟以外但其处理受GDPR域外范围约束的控制者和处理者应审查其第三国数据传输机制和流程,以确保充分合规。
CNIL成立了一个人工智能部门,并宣布了即将出台的学习数据库指导方针
发生了什么事: CNIL宣布它正在创建一个完全致力于人工智能的新部门。该部门由法律专家和专业工程师组成,旨在加强CNIL在人工智能方面的专业知识,巩固其作为法国人工智能隐私问题主要监管机构的地位,同时为实施《欧盟人工智能法案》做准备。CNIL将很快为私营和公共实体提出用于人工智能培训和开发的学习数据库的初步合规建议。
该怎么做企业应密切关注CNIL在这些问题上的进一步声明和建议,这可能与迄今为止在其执法行动中提出的担忧相呼应。这个新部门表明了CNIL对人工智能相关隐私问题的强烈兴趣。正如我们所述在这里, CNIL对Clearview处以2000万欧元的罚款,原因是该公司在未经同意或合法权益的情况下“侵入性和大规模”数据处理,以及其他一些失误。
英国ICO向游戏开发者发布了遵守儿童准则的指南
发生了什么事: ICO发布指导游戏开发者和供应商尽早在游戏设计中考虑儿童数据保护问题,并将实践与《儿童准则》保持一致。这些建议是基于对游戏行业内的开发者、工作室和发行商的一系列自愿审核。
特别是,指导建议:
- 在游戏设计过程中进行风险评估,并在发行后进行定期审查,以确定任何意外的用户群体;
- 识别18岁以下用户的流程,确保合理程度的确定性,并防止虚假的年龄声明;
- 包括检查点和适合年龄的提示,以便在延长的会议中休息一下,以防止损害健康和福祉;
- 对营销行为分析的限制,包括可选择的默认设置和监控产品植入、广告和赞助的控制;和
- 对在社交媒体竞争和合作伙伴营销中使用“助推技术”的彻底审查和普遍反对,这些技术鼓励糟糕的隐私决策,特别是在社交媒体账户链接与用户奖励挂钩的情况下。
该怎么做*有未成年人参与的企业,尤其是游戏设计师和游戏玩法提供商,应该考虑重新审视政策和程序,以确保他们与最新的指导方针和标准保持一致孩子们的代码,并考虑使用ICO的链接设计指导协助实施
德国法院确认,如果不是出于数据保护利益,访问请求可能构成滥用权利
发生了什么事上诉,德国法院支持拒绝数据主体的访问请求,认为这是"滥用权利",即客户为计算保费增加是否合法而寻求有关九年健康保险费调整的详细信息。客户声称有权根据GDPR获得这些信息,法院驳回了这一请求,因为该请求的目的不是评估个人数据处理是否符合GDPR。这推翻了法院之前的立场,即数据主体访问请求的动机与其合法性无关。
该怎么做考虑到该领域尚未确定的法律,以及不同司法管辖区之间的重大分歧,企业在基于潜在动机拒绝访问请求之前应谨慎行事。
挪威DPA对健身连锁店处以近100万欧元的罚款,罪名是与dsar和非法处理相关的多次轻微违规行为
发生了什么事:挪威数据网罚款在多次投诉后,一家健身连锁店因违反GDPR而被罚款1000万挪威克朗(接近100万欧元)。
Datatilsynet发现:
- 未能及时处理和/或响应两个访问请求,即使其中一个请求者发送了提醒;
- 未能及时处理三个擦除请求;
- 未能正确告知数据主体有关被禁会员的数据保留政策;
- 在被禁会员政策规定的保留期限之外保留被终止客户的个人资料;和
- 未能建立合法依据来处理其健身中心会员的训练历史数据。
Datatilsynet指出,虽然个别个案对资料当事人的要求处理不当的情况并不严重,但随着时间的推移,反复出现的情况表明系统存在问题。
该怎么做组织应注意,随着时间的推移发生的多次轻微违规行为可能会被监管机构解释为值得采取执法行动而不是警告的系统性问题。此案进一步提醒人们,监管机构希望企业的数据保护政策符合实际做法,尤其是在数据保留方面。
经过多次询问,丹麦DPA发布了cookie墙指南
发生了什么事在对一家在线市场和一家媒体集团的两家公司使用cookie墙的投诉进行调查后,丹麦数据网络发布了一份声明的指导方针对于以同意处理个人数据为条件访问其网站、服务或内容的公司。
该指引确立了四项基准准则:
- 一个合理的选择.不希望同意数据处理的用户必须提供合理的替代方案,例如通过付费访问。的Datatilsynet发现媒体集团向付费用户提供的内容(即更好的服务)比向同意用户提供的内容多,这不是一个合理的选择。
- 合理的价格。如果用户同意之外的选择是付费,公司在确定定价方面有广泛的自由裁量权,但不得设定不合理的高价格,损害用户的选择自由。
- 限于必要的。在付费或同意之间提供选择的公司必须能够证明,要求同意的所有目的都是付费访问的必要组成部分。Datatilsynet调查的两家公司都没有达到这一标准,两家公司都被要求证明出于统计目的对付费版本进行数据处理的必要性,或者制定同意解决方案。
- 在用户付款后处理个人资料.在用户付费访问的情况下,公司不能出于提供内容或服务所必需的目的处理个人数据。
该怎么做企业,特别是那些全部或部分由广告收入资助的企业,可能希望审查他们对cookie墙的使用,特别是为了确保提供合理的替代方案,以代替通过同意数据处理来访问。在作出上述决定时,他们会谘询市建局的意见同意指引05/2020,请记住,法国CNIL等当地监管机构也发布了指导.
意大利Garante禁止人工智能聊天机器人Replika违反GDPR,以及对儿童和情感脆弱个体的担忧
发生了什么事2023年2月3日,意大利数据保护机构禁止通过命令其开发商美国公司Luka Inc.在另行通知之前停止处理意大利用户的个人数据,来阻止人工智能聊天机器人Replika。Replika通过文本和视频界面为用户生成一个虚拟朋友。
在发现Replika违反了GDPR并对儿童和情感脆弱的个人构成风险后,检察官认定Replika:
- 在回复中提供不适合年龄的内容;
- 缺乏年龄验证和屏蔽机制,只需要姓名、电子邮件地址和性别即可创建帐户;
- 不符合透明度规定;和
- 非法处理个人数据,因为根据意大利法律,依赖履行合同对儿童无效。
卢卡必须在20天内将为纠正违反行为所采取的措施通知担保人。如果没有这样做,担保人可以处以罚款。目前尚不清楚卢卡是否或何时可以恢复Replika在意大利的业务。
该怎么做:可能面临儿童访问其内容风险的企业应审查现有的年龄验证机制,并确保他们需要充分的年龄验证。他们还应该考虑实现过滤器,以在需要时阻止儿童用户或用户或设备。执法行动还表明,监管机构可以采取措施,有效阻止企业因重大失误而继续运营。
订阅数据博客,请点击这里.
这篇博文的封面是由DALL-E制作的.