搜索:
Debevoise数据博客
摘要

欧洲数据保护综述- 2023年3月

由:

今年3月的主要结论包括:

  • AI中的公平性利用人工智能的企业可能希望根据最新的英国ICO指南评估公平原则,其中包括对人工智能设计和使用的澄清;
  • 通知时间:企业可能希望重新审视其事件响应计划,以确保即使在调查仍在进行时也能发出违规通知;
  • 数据处理协议:在Garante对数据控制者(50,000欧元)和数据处理者(30,000欧元)进行罚款之后,企业可能希望审查其供应商合同,包括没有制定符合gdpr的数据处理协议等违规行为;
  • 操作弹性:在瑞典金融服务监管机构对瑞典银行处以6680万英镑罚款后,企业应考虑审查机制,以确保在实践中遵循管理运营弹性的政策和程序,原因包括在对业务关键型IT系统进行更改时没有遵循自己的治理框架;和
  • 饼干在法国有接触点的企业可能希望记住法国国家信息委员会2023年的调查重点,该调查特别提出了对移动应用程序控制用户跟踪的担忧。

这些发展,以及更多,将在下面介绍。

英国ICO更新指南,澄清人工智能公平性要求

发生了什么事:英国ICO有更新在业界要求澄清人工智能公平要求后,现有的人工智能和数据保护指导意见。该指南概述了英国ICO如何考虑公平问题,并明确提出了一些有用的观点,包括:

  • 在某些情况下,是否可获得同意作为人工智能数据处理的合法基础;
  • 对个人公开人工智能系统如何对他们做出决策以及如何使用个人数据来训练和测试系统的重要性,
  • 需要确保人工智能系统在统计上足够准确,并在系统被用来推断关于人的数据时避免歧视;和
  • 需要专门处理人工智能系统中误差范围的变化,作为组织数据保护影响评估(DPIAs)的一部分。

该怎么做虽然关于人工智能使用的监管指导仍然相对薄弱,但企业应该从现有的指导中吸取教训,特别是在有具体应用的情况下,比如英国ICO的指导。更具体地说,企业可能希望根据英国ICO的最新指导意见审查现有的政策、流程和dpia,因为它们在英国有接触点。请参阅我们关于是否采用a的帖子ChatGPT政策并实现其他人工智能管理措施。

瑞典银行因IT中断被罚款8.5亿瑞典克朗

发生了什么事Finansinspektionen(“FI”),即瑞典金融监管局,发布带有“备注”的瑞典银行(anmarkning)和8.5亿瑞典克朗(约合6680万英镑)的行政罚款,原因是在对业务关键型IT系统进行更改后未能遵守内部控制。

在罚款之前,金融监管局称其为“重大IT事件”,其中近100万客户的账户余额不正确,原因是交易在瑞典银行的系统中被停止。FI的调查显示,瑞典银行在没有遵循银行内部程序和流程的情况下对关键业务IT系统进行了更改。此外,FI发现瑞典银行没有适当的控制机制来捕捉失败。FI的结论是,瑞典银行对银行IT系统的变化没有令人满意的内部控制,这是一种违规行为,给了FI干预的理由。

加重因素包括:(i)瑞典银行缺乏内部控制;(ii)瑞典银行是一家具有系统重要性的银行;(iii)受影响客户的数目;(四)事件对金融稳定造成不利影响的风险。在缓解方面,国际金融协会发现瑞典银行已经并打算采取措施加强其内部控制

怎么做:公司,特别是那些受金融服务监管的公司,应该仔细考虑他们有什么政策和程序来管理IT运营弹性,并确保它们保持最新并在实践中得到应用。展望未来,根据《欧盟数字运营弹性法案》,受欧洲监管的实体将面临越来越繁重的运营弹性要求。有关背景信息,请参阅我们的帖子朵拉重要的是管理义务它规定。

挪威数据保护局因医疗设备公司迟交数据泄露通知而罚款24万加元

事情发生的经过:挪威德新社罚款医疗设备公司Argon因在完成调查后才报告了一起个人数据泄露事件,获得了25万美元的赔偿。2021年7月,Argon公司发现了一起影响其员工的个人数据泄露事件,但在完成对该事件及其后果的审查两个月后才通知了监管机构。挪威德新社:

  • 重申GDPR的72小时通知截止日期始于数据控制者意识到发生了个人数据泄露(而不是一旦了解了所有泄露情况);和
  • 强调控制者不能等到进行了详细的调查之后才遵守通知要求。

怎么做:公司可能希望审查其事件响应程序和流程,以确保它们有助于遵守违规通知截止日期,并且在任何情况下,都要明确可能需要在调查完成之前发出通知。

意大利DPA罚款保险公司未能有效收购后整合

事情发生的经过:意大利德新社发布了其决定对保险经纪公司Assiteca Spa处以12万欧元罚款,原因是该公司在提供保险报价的网站上存在各种数据保护缺陷,这些网站是通过2021年的收购进入该公司的。DPA特别提出了以下问题:(i)不同意为促销目的进行处理;(ii)数据处理缺乏透明度;(iii)保留个人资料;(iv)缺乏技术和组织措施来防止对数据主体的偏见——所有这些都源于收购后公司对其目标业务的整合不力。例如,在合并后,近9700名目标客户的个人数据在他们不知情的情况下被保留,并在未经明确同意的情况下暴露于可能用于促销目的的处理。

怎么做:仔细考虑并计划收购后整合风险,这些风险与接收额外的个人数据和处理活动有关。正如罚款所显示的那样,买家可能要为继承的违规行为负责。

法国CNIL宣布2023年的调查重点

事情发生的经过:yann padova的宣布它的调查重点预示着对追踪技术的进一步审查。每年,CNIL在投诉、数据泄露报告和相关新闻事件后进行数百次调查(2022年为345次)。作为其调查政策的一部分,CNIL确定了执法和合规检查的优先主题。2023年的优先事项包括:

  • 通过移动应用程序跟踪用户,建立在CNIL的基础上行动计划关于开发流动应用程序的良好做法;
  • Cookie合规,这已经是一个热门话题了一段时间了,最近有几个制裁(见我们之前的摘要)及更新的指导方针;和
  • 健康数据的安全性。

怎么做:CNIL的优先事项证实了欧洲国家监管机构对移动应用程序cookie和跟踪技术合规性的重视。在法国拥有接触点的企业可能想要审查他们对跟踪工具的使用,特别是cookie,以及它是否与CNIL的规定一致的指导方针

意大利Garante因未能签订数据处理协议而对数据控制者罚款5万欧元,对数据处理者罚款3万欧元

事情发生的经过:的Garante发表数据控制者和数据处理者分别被罚款5万欧元和3万欧元,起因是一名员工对车辆跟踪的投诉。控制公司Giessegi Industria Mobilii(“Giessegi”)安装了由数据处理器Verizon Connect Italy(“Verizon”)提供的地理定位设备,以跟踪送货车辆。

担保人指责这两个实体:

  • 未能达成数据处理协议,指出实体之间的服务条款使Verizon成为“处理者”,不符合GDPR的强制性内容要求;和
  • 在Giessegi与交付公司的协议终止后,在没有任何法律依据的情况下处理个人数据。

担保人进一步犯了错误,并对控制者进行了处罚,因为他未能:

  • 向资料当事人提供足够的私隐通知;和
  • 进行数据保护影响评估,即使位置数据是“高度私人的”,员工被担保人视为易受攻击的数据主体。

怎么做:公司可能希望审查供应商合同,以确保它们包含GDPR第28条规定的数据处理条款,并考虑在加入第三方服务提供商之前是否需要进行数据保护影响评估,以确保符合GDPR。

英国ICO要求强制删除YouTube算法

事情发生的经过:一份提交给英国信息专员办公室(Information Commissioner’s Office)的投诉呼吁该监管机构迫使YouTube删除针对儿童数据进行培训的算法,该机构称这些数据是非法收集的。虽然ICO确认它拥有广泛的权力,可以要求组织采取一切必要措施遵守数据保护法,但根据ICO的规定,删除软件代码作为一种特定的补救措施可能会超出其授权范围。这还有待检验,与美国联邦贸易委员会(Federal Trade Commission)的做法形成鲜明对比,后者已下令将删除算法作为几起数据隐私案件和解的一部分。请看我们的博客文章在这里

怎么做:企业可能希望跟踪这一领域的发展,并审查我们的以前的文章找出避免算法分解的最佳做法。

爱尔兰DPC因银行应用程序泄露个人数据对爱尔兰银行集团罚款75万欧元

事情发生的经过:爱尔兰DPC发布了它的最后的决定爱尔兰银行集团(BOI)向DPC通报了与BOI365银行应用程序有关的10起数据泄露事件。

DPC对BOI处以75万欧元的罚款,发现BOI低估了处理某些银行应用程序数据对数据主体权利和自由造成风险的严重性和可能性,并且未能实施适当的保护措施来保护这些数据。具体来说,DPC发现BOI没有足够频繁和有针对性的员工培训;(ii)旨在减轻数据处理中人为错误风险的数据治理政策不充分;(iii)为保证质素而对某些数据抽样不足;(iv)缺乏能够主动检测和报告数据泄露的机制。DPC命令BOI使其处理符合GDPR的数据安全要求。

怎么做:该决定强调了潜在的监管问题,即企业在风险计算中适当考虑身份盗窃、欺诈和财务损失的风险——在这种情况下,DPC清楚地知道,这些因素会导致风险的严重性很高。企业还可以从决策中获得提醒,以实现适当的机制,以便在个人参与高风险处理活动时测试和减轻人为错误的风险。

爱尔兰DPC因“数据处理不当”对医疗集团罚款46万欧元

事情发生的经过:爱尔兰数据保护委员会(DPC)对总部位于都柏林的医疗集团Centric Health Ltd .进行了罚款€460000在2019年的勒索软件攻击之后。DPC举行该组织对数据处理不当,无意中破坏了“2500份患者文件和其他数据”,并且由于难以访问备份,在攻击发生后的一段时间内,7万名患者的文件无法访问。根据判决,在Centric向攻击者支付赎金以换取解密密钥后,删除发生了,解密密钥无法应用于受影响的数据,因为它在此期间已被删除。

DPC特别重视被删除数据的性质,强调健康数据需要特别高的安全性,因为其丢失可能影响患者护理。

该决定还指出,该集团对其服务器的安全测试不足,备份保护不足,偏离了公司的标准做法,将服务器存储在场外。

怎么做:作为更广泛的勒索软件和网络安全防范工作的一部分,公司可能希望审查备份和相关政策和程序。公司可能还希望确保事件响应计划和其他相关程序包含控制措施,以防止受网络安全事件影响的数据(过早)删除。

订阅数据博客,请点击这里

这篇博文的封面是由DALL-E制作的

作者

Robert Maddox是Debevoise & Plimpton LLP伦敦数据战略与安全业务和白领与监管辩护团队的国际法律顾问和成员。他的工作重点是网络安全事件的准备和响应、数据保护和战略、内部调查、合规审查和监管辩护。2021年,罗伯特被《全球数据评论》评为“40岁以下40人”。他被《美国法律500强》(The Legal 500 US, 2022)评为网络法律领域的“后起之秀”。您可以通过rmaddox@debevoise.com与他联系。

作者

Friedrich Popp博士是法兰克福办事处的国际法律顾问,也是该公司诉讼部的成员。他的业务重点是仲裁、诉讼、内部调查、公司法、数据保护和反洗钱。此外,他在并购、私募股权、银行和资本市场方面经验丰富,并发表了多篇关于银行法的文章。

作者

范妮·高捷(Fanny Gauthier)是德贝沃斯律师事务所诉讼部驻巴黎办事处的助理。她是该公司国际争议解决小组的成员,也是该公司数据战略与安全实践的成员。她的业务重点是复杂的商业诉讼、国际仲裁和数据保护。可以通过fgauthier@debevoise.com与她联系。

作者

Stephanie D. Thomas是诉讼部的合伙人,也是公司数据战略与安全组和白领与监管辩护组的成员。可以通过sdthomas@debevoise.com与她联系。

作者

特里斯坦·洛克伍德(Tristan Lockwood)是本所数据战略与安全业务的助理。您可以通过tlockwood@debevoise.com与他联系。

作者

Maria Episkina是Debevoise伦敦办事处的实习生。

作者

Alexandre Pous是Debevoise巴黎办事处诉讼部的法律实习生和实习生。

作者

玛丽亚·桑托斯是诉讼部的实习律师。

相关的帖子

Baidu
map