ICO针对GDPR下的国际数据传输发布新指南

信息专员办公室(ICO)发布了新的 指导 通用数据保护条例(条例(EU)2016/679)(GDPR)下的国际数据传输(指南)。

欧盟前个人数据传输

GDPR限制将个人数据传输到非欧盟国家或国际组织。

ICO已阐明,在以下情况下将限制转让:

  • GDPR适用于范围内个人数据的处理。 GDPR第2条和第3条规定了GDPR的范围。 ICO指出,GDPR通常适用于“如果您正在欧盟处理个人数据”。 GDPR也可能适用于“在特定情况下,如果您在欧盟以外并且正在处理有关欧盟个人的个人数据”。
  • 组织将个人数据发送或使之可访问GDPR不适用的接收者。这通常是因为接收器位于欧盟之外。
  • 接收者是一个单独的组织或个人。接收方可以是关联公司或子公司,但不能是转让组织的员工。

转运还是中转?

ICO指出,个人数据的传输与个人数据的传输不同。如果个人数据只是通过非欧盟国家/地区通过电子方式在欧盟国家之间进行路由,则不会进行任何限制的传输。 ICO给出了爱尔兰和法国控制者之间通过澳大利亚服务器进行个人数据传输的示例。如果在传输过程中无意访问或操纵个人数据,则不会发生有限制的传输。

继续阅读

AG在FTC评论中强调消费者保护和隐私方面的专业知识

联邦贸易委员会(FTC)将于今年秋天举行有关“ 21世纪的竞争与消费者保护”的一系列听证会,目的是反思该局的权力,州检察长(AG)希望确保他们的权力。听到声音了。

由29个州AG组成的两党组织 评论 与联邦贸易委员会(FTC)于2018年8月20日达成协议,要求其考虑自己作为“处于消费者保护最前沿”的州监管机构的独特观点和专业知识。 FTC的听证会于9月13日开始, 时间表 其中包括由前代理主席Maureen Ohlhausen和FTC前工作人员及学者组成的“消费者数据监管”小组。随着联邦贸易委员会(FTC)公开讨论其影响消费者的执法重点和政策可能如何变化,尤其是在任命了一批新的专员的情况下,AG希望被视为合作伙伴。尤其是,他们希望成为隐私和数据安全性对话的一部分,这是近年来的趋势。

“根据我们的经验,消费者隐私和数据安全是产品和服务开发中的事后考虑。工业界通常没有对隐私和安全进行充分的投资。消费者数据具有内在价值,仅凭自由市场无法充分保护敏感数据。消费者向我们表达了以下担忧:个人信息产业收集了什么,该产业如何告知消费者有关数据收集以及产业如何使用和共享消费者的数据。业界必须在其产品和服务的研发中将隐私和安全放在首位和中心位置。”

继续阅读

加利福尼亚州加强了有关订阅自动续订的法律

自加利福尼亚州于2010年颁布《自动购买续订法》(APRL)以来,原告的集体诉讼条就一直在起诉那些提供基于订阅服务的公司,称其未能遵守APRL要求。诉讼源于所谓的未能遵守适用于许多类型订阅的披露,同意和确认要求。违规导致了数百万美元的集体诉讼和解以及政府民事处罚。今年夏天,APRL变得更加艰难。

APRL适用于通过使用“自动续订”或提供“连续服务”向加利福尼亚消费者的支付卡收费的公司。 “自动续订”是在其有效期结束时自动续订并收取订阅费用的一种安排。 “连续服务”是一种安排,在该安排中,订阅继续进行并且开始收费,直到消费者取消该服务为止。

通常,甚至在修订之前,APRL要求包括:

  • 在提出报价的地点或时间以清晰显眼的方式介绍自动更新报价或持续服务的条款。
  • 在向消费者收取自动续订或持续服务费用之前,请先征得消费者的肯定同意。
  • 向消费者提供对关键条款的确认,包括取消指示。
  • 实施一种通过免费电话,电子邮件,邮件或其他“经济高效,及时且易于使用”的方法取消(如确认书中所述)的方法,并允许消费者在收费之前取消。免费试用结束。
  • 在对原始条款进行任何重大更改之前,以清晰明显的方式通知消费者。

继续阅读

联邦上诉法院拒绝排除在未授予木匠手令的情况下收集的手机位置信息,但木匠’s future impact still unclear

在他的异议中 卡彭特诉美国,138 S. Ct。肯尼迪大法官2206(2018)指出:“网络时代具有巨大的潜力,可以扩大和限制个人自由,而这是以前没有想到的。”肯尼迪法官担心该裁决认为警察通常需要通缉令才能访问牢房位置信息,该裁决会通过将先前的先例“转化为”无原则和不可行的学说”而阻碍执法。的 木匠 但是,大多数人坚持认为,其2018年6月的决定是“一个狭窄的决定”。未来的决定将决定多远 木匠 实际上可以达成,但是美国第二巡回法院和第七巡回上诉法院的最新裁决显示出一个重要的限制:排除规则的“诚实”例外。在确认的同时 木匠的法院判决,两个法院均驳回了各自的被告上诉人关于与之前的搜索相关的压制议案否认请求的上诉 木匠 基于该异常。

最近,在 美国诉柯蒂斯诉”,第17-1833号,2018年第WL 4042631号文件(2018年8月24日,第七巡回赛)认为,“即使现在已经确定第四修正案要求对存在的手机数据类型进行授权[在这里,由于我们是真诚收集的,因此不需要排除该信息。”在 柯蒂斯,上诉人对地方法院否决其拒绝根据《存储通讯法》(SCA)收集的手机位置信息的动议提出质疑。 柯蒂斯先生对政府遵守SCA表示怀疑,但认为他对位置信息的隐私有合理的期望,因此需要搜查令。地方法院拒绝了该动议,并允许提供位置信息作为证据,柯蒂斯先生被裁定犯有各种罪行。

在上诉中,第七巡回法院同意 木匠,则需要提供逮捕令才能提供此信息,但最高法院“未就接下来将要发生的事情进行交谈”。根据 柯蒂斯 法庭上,答案很明确:不必排除证据,因为它是基于诚实信用而获得的。木匠 先例。

继续阅读

大数据,政治广告和巨额罚款有什么共同点

2018年7月10日,信息专员办公室(ICO) 宣布 其意图是针对Facebook两次违反《 1998年数据保护法》(这是GDPR之前的制度所允许的最高罚款),对Facebook处以50万英镑的罚款。如果强制执行罚款,这将是ICO历史上最大的罚款。从某些角度来看,如果在2016/679通用数据保护法规(GDPR)实施后发生违规行为,则该社交网络可能面临高达3.59亿英镑的罚款。 Facebook现在有机会回应ICO的意向通知,此后将做出最终决定。

在发布意向书以罚款Facebook后不到30天,ICO作为调查结果进一步处以罚款,这次针对的是Lifecycle Marketing(Mother 和 Baby)Ltd,也被称为数据代理公司Emma's Diary。提供有关怀孕和育儿的建议。 ICO因非法收集和出售超过100万人的个人信息而对Emma的日记处以14万英镑的罚款。

背景

在过去一年多的时间里,Facebook和Cambridge Analytica一直是ICO调查的重点。该调查以政治活动中的使用数据分析为中心,由信息专员伊丽莎白·丹纳姆(Elizabeth Denham)牵头。在发现证据表明非法收集了超过8700万个Facebook帐户的个人数据后,调查于2017年5月正式开始。 ICO将其描述为数据保护机构有史以来规模最大的调查之一,这反映在对调查成本的最新估算中,该估算值几乎是Facebook罚款额的三倍。已发出。除了罚款外,ICO还宣布打算对剑桥分析公司的母公司SCL Elections Ltd提起刑事诉讼,理由是它太慢而无法对今年5月发布的执行通知作出充分回应。

继续阅读

委员会发布关于数字单一市场策略的情况说明书

欧盟委员会于2018年6月22日发布了 资料表 提供了迄今为止为实施其数字单一市场战略所采取的行动的直观摘要。数字单一市场战略是指欧盟委员会的使命,是确保个人和企业在公平竞争,消费者和数据保护的条件下访问在线活动,消除地理障碍和版权问题。

情况说明书列出了时间表,显示了自委员会于2015年宣布数字单一市场战略以来,委员会提出的每个数字单一市场战略举措的状态。情况说明书显示,已经提出了29项立法举措,其中17项已经提出。已获得欧洲议会,欧盟理事会和欧盟委员会的同意。

欧洲议会和理事会尚有12项委员会立法举措尚未达成共识。值得注意的是,即将制定的即将与《通用保护条例》 2016/679同时生效的即将到来的《电子隐私条例》在谈判过程中仍然非常重要。随着即将到来的2019年欧洲大选越来越近,存在着非常现实的危险,除非取得快速进展,否则整个收养过程可能会被搁置。

继续阅读

第九巡回法庭在遗传信息隐私案中确认拒绝提供类别证书

美国联邦第九巡回上诉法院在一项可能使基因检测公司放心的决定中,于8月21日申明,消费者根据阿拉斯加的《遗传隐私法》(该法)提起的集体认证竞标被拒绝。在 Gene公司的Cole诉Gene案,原告试图代表一类个人,指称Gene by Gene,Ltd.(Gene by Gene)违反了阿拉斯加Stat。安§18.13.010(a)(1),未经事先书面同意,披露客户DNA结果和信息。根据第九巡回法庭的说法,阿拉斯加地区美国地方法院没有滥用裁量权,认为原告未能表明常见问题胜过仅影响所提议班级中个别成员的任何问题,并且集体诉讼并非优于其他解决方法。因此,原告无法满足美联储的要求。 R.文明P. 23(b),诉讼不适合集体诉讼。

原告提起诉讼,声称当消费者退回Gene by Gene提供的DNA测试试剂盒时,该公司不仅允许消费者查看其分析结果,而且还将DNA测试结果发布在消费者不知道的公开网站上。根据原告的说法,未经消费者许可的此披露“会带来严重且不可逆转的隐私风险”,并且违反了该法案。原告在集体证明动议中强调他声称对所有集体成员都普遍存在的问题,例如是否提供同意以及信息披露是否为牟利。此外,原告指出,遗传信息收集的过程是相同的,并且为每个消费者公开了相同类型的遗传信息。

继续阅读

隐私保护团队发布指南

本月,隐私保护计划发布了以下问题的答案: 经常问的问题。当将个人数据从欧盟转移到美国以支持跨大西洋贸易时,隐私保护盾提供了一种符合数据保护要求的机制。

该通用指南涉及以下主题:隐私盾在欧盟通用数据保护法规下作为数据传输机制的持续地位,隐私盾与《澄清海外合法使用数据法》(CLOUD法案)的关系,要求包括组织的隐私权政策中的主要网站URL,以及有关Privacy Shield认证的其他信息。此外,该指南还包括特定于瑞士-美国的常见问题。隐私盾,隐私策略,向前转移原则的责任制和处理器。

获取有关IT的最新信息&新闻通讯中的数据保护法(2018年夏季版)

2018年夏季版季刊 IT &数据保护通讯 由德国技术与法度(Technology and law)发行。

我们提供有关Facebook粉丝页面,cookie同意,影响者营销,平台提供商的责任,框架等方面的更新。该新闻通讯还推荐了GDPR的多个推荐读物。

希望您喜欢阅读。

对《电子隐私条例》的拟议修正

欧盟理事会于2018年7月10日发布了 草稿 拟议的《电子隐私条例》(ePR)的修订。 ePR可能会在2019年生效。

ePR将废除并取代2002/58 / EC隐私和电子通信指令。 ePR将使欧洲的ePrivacy制度与通用数据保护条例(GDPR)中规定的隐私制度更加紧密地保持一致。 GDPR于2018年5月25日生效。

目标

ePR着眼于用户电子通信的机密性。它还将规范活动,例如:

  • 直销,
  • 网站受众群体评估,
  • 跨设备和浏览器的通讯传输,以及
  • 在用户计算机上设置的Cookie。

根据ePR Recital 2,它打算“专门化和补充 GDPR通过“将其原则转化为特定规则”制定的个人数据规定”。

继续阅读

LexBlog