德国为获得环保认证的“绿色纽扣”纺织品发布新的,国家认可的商标(GrünerKnopf)

On 9 September 2019, the German Federal Ministry of Economic Cooperation 和 Development (Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung – BMZ) introduced a new, state-regulated environmental label for “Green Button” (格林诺夫) certified textiles with a press release, available 这里. The BMZ also launched the official Green Button 网站, which is available in German at http://www.gruener-knopf.de/.

简而言之

“绿色按钮”是一个徽标,可以作为证据证明所涉及的纺织品是以社会和环境可持续的方式制造并投放市场的。该州负责确定“绿色按钮”认证的要求。

绿色按钮旨在帮助消费者和公共采购机构识别此类纺织品。徽标可以直接贴在经过认证的纺织品上,以证明产品符合苛刻的社会和环境要求。

继续阅读

Last minute amendments likely finalize 注册会计师 language for January 1 deadline.

上周晚些时候,加利福尼亚州立法机关批准了五项法案,旨在阐明《加利福尼亚消费者隐私法》(CCPA或该法案)的范围和合规义务。企业现在只有三个多月的时间来确定他们是否需要遵守新修订的CCPA,评估其义务以及实施遵守法律所需的政策,程序和运营变更。

通过了五项修正: AB 25, AB 874, AB 1146, AB 1355AB 1564. Significant impacts of the amendments that were enacted include:

  • 修正案阐明,至少在2020年之前,此消费者隐私法将适用于员工,求职者和承包商的个人信息以及通过某些企业对企业交互收集的个人信息 但仅在某些方面。
  • 这些修订为企业可用于接收和验证消费者访问和删除请求的流程增加了灵活性。
  • 该修正案从CCPA适用范围中排除了某些消费者报告数据的处理已经受联邦公平信用报告法的约束。
  • 修正案阐明了加密和修订如何影响数据泄露的私人诉讼权。
  • 修订确认 适当地 deidentified or aggregate data is not personal information under the Act.

继续阅读

Face-off: 英国 High Court backs use of automated facial recognition technology

In 2019年七月, the 英国 隐私 regulator, the 信息专员’s Office (ICO) 发出警告 关于自动面部识别技术(AFR)对隐私的影响。 ICO担心AFR“代表着成千上万的人在日常生活中对生物数据的广泛处理。”

The 英国 High Court recently handed down an important 和 timely decision in Bridges,R(根据请求)v。South Wales Police首席警察[2019] EWHC 2341(Admin)。法院裁定,南威尔士州警察(AWP)对AFR的使用是成比例的,合法的,并符合人权法和数据保护法。尽管SWP使用AFR干扰了受影响个人的隐私和数据保护权利,但这仍然存在。

This is the world’s first 法律挑战 over the use of AFR.

背景

自2017年4月起,SWP已试用一种特殊类型的面部识别技术(AFR Locate),以期在全国范围内推广。 AFR Locate通过从CCTV提要中捕获公众面孔的数字图像来捕获作品。然后实时处理图像以提取面部生物特征信息。将该信息与警察监视列表中人员的面部生物特征信息进行比较。如果图像之间不匹配,则数据将在处理后立即删除。

人权运动组织Liberty代表加的夫居民Ed Bridges提出了法律挑战。布里奇斯先生辩称,SWP使用AFR违反了他的人权以及数据保护法。

法院面临的问题是,当前的法律制度是否足以确保适当地和非任意地使用AFR。

主要发现

高等法院以各种理由驳回了布里奇斯先生的要求。撇开与违反人权法有关的要求,主要的数据保护发现如下。

  • 合理的处理:AFR捕获的生物识别数据是未列入警察监视名单的人员的个人数据。法院认为,其图像被AFR捕获的公众与其他所有人有足够的个性。尽管对生物特征数据的处理也是“敏感处理”,但法院裁定这样做是合理的。为了使SWP达到识别监视名单上的人员的目的,必须首先处理生物特征信息。为了确保SWP的合法权益发现并预防犯罪,必须处理这些数据。
  • 执法处理:生物识别数据处理不违反数据保护原则,即出于执法目的而进行的任何个人数据处理必须合法且公平。
  • 数据保护影响评估(DPIA):SWP的AFR DPIA符合英国法律。法院裁定,SWP的DPIA陈述了明确的叙述,其中考虑到了可能违反英国人权法的行为。它还确定了确定要保留哪些个人数据及其原因的保护措施。
  • 适当使用:现行法律制度足以确保AFR的适当和非任意使用。 SWP对AFR Locate的使用符合人权法和数据保护法。

评论

在利用新技术与维护受影响个人的隐私权和数据保护权之间一直很难实现监管平衡。该裁决是针对特定事实的,不应将其解释为使用AFR的英国范围内的绿灯。但是,该裁决仍然为AFR提供了急需的司法解释。一直批评警察和私人使用面部识别技术的ICO表示,将仔细审查判决。因此,我们希望ICO能够就如何部署任何未来AFR技术向执法机构发布进一步的建议和指导。请随时关注此博客,因为我们将确保您始终保持最新状态。

Get your Update 上 IT&Data Protection 法 in our Newsletter (Summer 2019 Edition)

IT季度2019年夏季版&Reed Smith Germany的《数据保护通讯》刚刚发布:

英文版

德文版

In this edition we cover the following topics:

  1. ECJ 和 GDPR: Another decision hitting social media activities by companies
  2. EDPB does not opt for changes to EU standard contractual clauses
  3. EU Commission 上 implementation of GDPR
  4. 第二部德国GDPR实施法案
  5. 法兰克福上诉法院:没有普遍禁止捆绑营销协议以抽奖
  6. ECJ:具有里程碑意义的抽样决定
  7. Frankfurt Court of Appeals ruling 上 influencer marketing 和 manufacturer tags
  8. Munich Regional Court: Affiliate links to be clearly labelled as advertisement

该新闻通讯还包括有关阅读欧洲数据保护委员会和德国数据保护当局的出版物的多项建议。

希望您喜欢阅读。

 

关于电子隐私法规的最新消息:“当前草案无法保证高水平的保护,因此无法获得支持”,德国政府表示

在2019年7月3日的回覆中(响应; file no. 19/11351, available in German 这里) to an inquiry by members of the German parliament (查询),德国政府对当前的隐私权和电子通信法规草案(电子隐私法规),尤其是在“跟踪”上。德国政府总结了对“隐私权法规”的评估:

“德国已于2019年6月7日在卢森堡举行的欧盟理事会会议上宣布了自己的观点。 《电子隐私权法规》必须保证提供高水平的保护,这要超出GDPR提供的保护范围。目前的草案没有实现这一目标。德国不能支持目前的草案。”

German government’s assessment of the 电子隐私法规

该调查寻求德国政府的回应,其中包括(i)是否应在欧盟范围内对“跟踪”进行更广泛的监管,以及(ii)必须对ePrivacy法规进行哪些具体修改。 继续阅读

State attorneys general work with telecom giants to address 机器人电话

Robocalls:每个人都会收到一两个,但很有可能会收到几十个。尽管有些帮助有用,但大多数令人讨厌,最坏的情况可能导致财务欺诈。在FCC和国会已采取措施解决这一问题的同时,州检察长(AG)已采取了第一项重大行动,以结束无用的自动举报。 8月22日,来自50个州以及哥伦比亚特区的AG与12家大型电信公司共同宣布了一个新框架,以解决消费者每年收到的数十亿无用机器人呼叫。

宣布 谅解备忘录 is a voluntary set of principles, under which the telecom companies agree to:

  1. Offer free call blocking 和 labeling.
  2. 实行 搅拌/摇动, a call authentication system to combat illegal caller ID spoofing.
  3. Analyze 和 monitor high-volume voice network traffic.
  4. 调查可疑的呼叫和呼叫方式,并采取适当的措施,包括通知执法部门。
  5. Confirm the identity of new commercial VoIP customers.
  6. Require traceback cooperation in contracts.
  7. Cooperate in traceback investigations.
  8. 继续与州AG合作,以设计进一步的手段来打击非法机器人呼叫。

尽管自愿性原则不包括特定的执行机制,但股份公司可能能够根据现行州法律执行这些原则。股份公司已经有能力根据现行的消费者保护法律采取欺骗性行为;如果参与其中的任何一家电信公司不遵守这些原则,则它们将面临根据这些法律承担的责任。

尽管参与该计划的电信提供商可能已经在执行计划以遵守这些原则,但此公告的涟漪可能也会影响其他业务。由于验证要求的提高,非电信公司可以期望在下一个合同周期内向其语音呼叫提供商提供更多信息,或者执行附录以确保符合这些原则。所有行业的公司都应该意识到,州立AG在其武器库中拥有强大的工具来保护消费者。

开展了上千部法律的面部扫描:生物识别隐私立法趋势在全国范围内持续增长

Many states are following in the footsteps of Illinois’ Biometric Information 隐私Act (BIPA),该法律已导致集体诉讼隐私诉讼的数量增加,并突显了企业级生物特征数据(例如指纹,声纹和视网膜,面部或虹膜图像)管理的重要性。收集和使用生物识别数据进行员工跟踪或面向消费者使用(包括收集和使用诸如心率或步数之类的特征)的组织应意识到生物识别隐私法的增长趋势(以及潜在的后续课程风险)行动),并应通过评估其对现有法律和即将生效的法律的遵守情况,并在其他州预见即将出现的新法律来采取积极行动。

今年年初,在 Rosenbach v. Six Flags Entertainment Corporation,伊利诺伊州最高法院裁定,原告仅需辩称违反BIPA,即可将其视为“受害”,因为该法规明确要求维持私人诉权。参见740 I. Comp。统计安14/20。此后,根据BIPA出现了数起诉讼,包括针对雇员的雇主诉状,如 指纹的收集和使用 用于跟踪工作时间或安全控制。多个州已经通过或引入了类似于BIPA的法案,这表明组织收集,使用和存储员工或客户的生物特征信息的组织的风险增加。

许多州沿袭了BIPA的脚步,要么根据州数据泄露通知法扩大“个人信息”的定义,以包括生物特征信息,要么为生物特征数据主体创建新的权利(包括诉讼的私人权利)。结合了生物识别技术的近期隐私法的两个引人注目的例子是 纽约的《 SHIELD法案》 和 the California Consumer 隐私Act (CCPA) (which is not yet effective 和 faces 继续修订)。如果CCPA的修正案将当前考虑的私人诉权扩大到涵盖任何违反法律的行为,则诉讼环境可能类似于BIPA之下的伊利诺伊州。如下所示,越来越多的州采取了一致的努力,以增加组织的透明度义务,并限制其在没有充分通知和同意的情况下使用生物识别数据进行收集,存储和交易的能力。以下是有关生物识别数据及其状态的州法律的当前概况的高层概述。

有效 通过但尚未生效 待定或即将出现
Illinois: 740 Ill. Comp. Stat. 14/1 et seq. (BIPA): 包括私人诉权和对伤害指控的低门槛;不遵守规定可导致$ 1,000–每次不正确的生物识别数据收集,赔偿$ 5,000;适用于员工数据。

德州: 德州巴士。&通讯代码安第503.001(b)条(2009),或《生物识别标识符法》(CUBI)的获取: 要求组织在收集生物特征数据之前提供通知并征得同意,并禁止未经适当同意或披露而出于商业目的出售,租赁和披露生物特征数据。没有私人诉讼权(只有德州检察长可以追回民事处罚)。

Washington: Wash. Rev. Code 19.375.010: 禁止未经通知或同意并出于商业目的收集和使用生物识别符,但出于“安全目的”而收集和使用是被禁止的。没有私人诉讼权(只有华盛顿总检察长可以执行)。

阿肯色州: 修订了先前的《个人信息保护法》,以扩展“个人信息”的定义,以包括生物特征数据,并将数据泄露通知要求应用于生物特征数据。没有私人诉讼权。

California: Cal. Civ. Code section 1798.100 (effective January 1, 2020) (CCPA): 定义“个人信息”以包括生物识别信息,并要求涵盖业务(任何收集消费者的个人信息并在加利福尼亚开展业务且每年总收入超过2500万美元的营利性实体;购买,接收,分享或出售超过50,000个客户的个人信息;或通过出售消费者的个人信息获得50%或更多的年收入),以向消费者披露有关其个人数据收集的信息。如上所述,CCPA在生效日期之前仍面临着不断变化的修订情况。

 

以下城市和州提出了立法,旨在扩大以类似于BIPA的方式从消费者或雇员那里收集的生物识别信息的合规义务,但是这些法律仍在等待中(例如,在委员会或辩论中):

阿拉斯加州

亚利桑那

马萨诸塞州

密西根州

新罕布什尔

纽约 (另外, 纽约市)

评论和实际意义
为了减轻因这些法律的泛滥而引起的诉讼和集体诉讼的风险,特别是在考虑了私人诉讼权的州,组织应积极主动,并将从BIPA合规中汲取的经验教训应用于当前和即将发生的持续准备中生物识别法,尤其是CCPA。刷新政策和程序所花费的时间和资源可能比发生在地平线上的许多生物识别隐私法之一对诉讼的事实做出回应后的花费要少得多。最重要的是,在上述各州拥有或预期拥有雇员或消费者的组织应考虑:(1)有关收集,使用,存储,保留和删除个人信息特别是生物识别信息的书面政策和程序,包括这些做法如何反映在整个企业范围的保留计划中,以及如何在公司系统和应用程序中保护这些数据; (2)企业为从员工或客户那里获取生物特征数据而建立的通知和同意框架(如果有); (3)全面评估收集的生物特征信息的当前或预期用例(包括对第三方披露或销售的限制和限制,并评估哪些第三方供应商与企业收集的生物特征数据进行交互(如果有),以及目的); (4)确保卖方尽职调查和签约充分解决了所有适用法律的合规性,并适当地为突发事件(如数据泄露或生物特征数据的销售限制)适当分配了责任,以使第三方确实与由第三方收集的生物特征数据进行交互公司。

 

German court ruling: no claims for damages under Article 82 GDPR for minor GDPR violations

In its recent decision of 11 2019年六月 (docket no.: 4 U 760/19, available 这里),德累斯顿上诉法院(德累斯顿上城 –上诉法院)必须根据GDPR第82条就轻微违反GDPR的损害索赔作出裁决。

背景

被告是社交网络的提供者,已从原告删除了一条帖子,并将原告的用户帐户暂停了三天。原告尤其主张根据GDPR第82条提出的物质和非物质损失索赔。

上诉法院的裁决

The Court of Appeals dismissed the asserted claims under Article 82 GDPR.

GDPR第82条第1款规定:

“由于违反[GDPR]而遭受实质性或非实质性损害的任何人,均有权从控制者或处理者那里获得所遭受损害的赔偿。”

上诉法院裁定未满足GDPR第82条第(1)款的要求。
首先,上诉法院裁定,删除原告的职位并中止其用户帐户并不构成对GDPR强制性条款的侵犯。它指出,被告在提供社交网络及其功能方面的处理活动得到了原告的同意(GDPR第6条第(1)(a)款),这是通过接受被告的使用条款而获得的。但是,上诉法院没有进一步解决原告接受GDPR含义中的合法同意的问题,即原告接受被告的使用条款是否构成合法同意。

其次,上诉法院指出,帐户暂停并不构成GDPR第82条所指的损害,因为即使丢失个人数据也不构成损害。上诉法院认为,为期三天的停职只是轻微违反。上诉法院裁定,仅对轻微违规行为不能主张根据GDPR第82条第1款要求赔偿的索赔。

上诉法院承认,有人争辩说,为了产生震慑作用,一般也应将轻微违反GDPR的规定视为足以引发对受影响人的损害赔偿的索赔。 GDPR第146条建议支持该观点,该观点规定:

“控制者或处理者应赔偿因违反[GDPR]的处理而可能遭受的任何损害。 (…)应当根据法院的判例法以一种能够充分反映[GDPR]目标的方式广义地解释损害的概念。 (…)数据主体应为其遭受的损失获得全部和有效的赔偿。”

但是,上诉法院裁定,如果仅在受到影响的人主观地感到不便而其自我形象或声誉没有受到任何严重损害的情况下,则不应以已经引起损害赔偿要求的方式来解释GDPR第82条第1款。否则,将提出无条件的损害赔偿要求。就是说,根据上诉法院的说法,任何违反GDPR规定的方式都以相同的方式影响了许多人并构成了蓄意,非法和大规模商业化的表述,则有理由做出不同的决定。但是,在本案中,删除某个用户帖子和暂停用户帐户与被告的商业化活动恰恰相反,因为这些活动反而阻碍了商业化。

评论

尚未就GDPR第82条规定的损害赔偿要求范围了解甚少。上诉法院的判决符合Diez地区法院先前制定的德国判例法(Amtsgericht Diez, judgment of 7 2018年11月, docket no. 8 C 130/18, available 这里)。

法律上仍然存在一定程度的不确定性,因为上诉法院并未在轻微违反GDPR的行为与不再被视为琐事的侵权行为之间划清界限,因此可能会触发根据GDPR第82条提出的损害赔偿要求。但是,上诉法院确定的标准,特别是商业化因素,将在实践中证明是有帮助的。

German DPA released audit checklist for GDPR准备就绪

The Lower Saxony 数据Protection Authority (下萨克森州DPA)在过去几个月中对50个大中型组织的实施情况进行了审核,以了解它们对《通用数据保护条例》(GDPR),目前正在完成审核。下萨克森州DPA于2019年8月7日发布了该清单,用于评估组织的GDPR准备情况(检查清单;可用德语 这里)。

清单

清单总共包括10个问题类别和大约200个GDPR合规标准。这些包括,例如:

问题类别 Main GDPR compliance criteria include
GDPR准备就绪 ·     How did your organisation prepare for GDPR?

·     Which departments of your organisation have been involved in GDPR preparation?

·     Did your organisation train employees 上 GDPR?

加工活动记录(ROPA) ·贵组织如何确保为所有必要的处理活动创建了ROPA?

·     How does your organisation ensure that it 更新s its ROPA?

数据处理的法律依据 ·     What are the legal bases for your organisation’s processing activities?

·     Does your organisation document consents obtained?

数据subject rights ·贵组织有哪些流程来确保数据主体可以根据GDPR主张其权利?

·请特别说明您的组织如何履行其信息义务。

数据security ·您的组织如何确保已实施必要的技术和组织措施(TOM),以确保适合风险的安全级别?

·     How does your organisation ensure that the TOMs are state of the art?

·您的组织如何确保其具有针对当前和将来的IT应用程序的书面授权概念?

·贵组织如何确保在创建或更改商品或服务的过程中实施设计隐私和默认隐私概念?

数据保护影响评估(DPIA) ·您的组织如何确保其认识到处理活动需要DPIA?

·贵组织对于哪些处理活动确定需要DPIA?

数据处理协议 ·     Did your organisation 更新 existing agreements with data processors?

·贵组织的模板数据处理协议是否符合所有GDPR要求?

数据保护官(DPO) ·     How is the DPO integrated within your organisation?

·贵组织是否已证明DPO具有足够的数据保护知识?

·     Was the DPO notified to the 监督机构?

数据泄露通知 ·贵组织如何确保在法定期限内通知数据泄露?
问责制 ·贵组织如何证明符合上述要求?

评论

According to the 下萨克森州DPA (see statement from last year 这里),其审核的主要目的不是发出罚款,而是确定组织中仍存在合规漏洞并提高对GDPR要求的认识。这些审核和检查表的发布表明,GDPR生效一年后,监管机构变得更加活跃(例如,通过对组织的GDPR准备情况进行一般审核),因此组织应该最终做好准备。

该清单是组织审核其GDPR准备情况的有用工具,因为它突出了监管机构可能关注的主要主题。

儿童优先:ICO’s code for design standards in 上line services for children is 上e step closer to completion

Earlier this year, the 信息专员’s Office (ICO) issued a 咨询服务 关于为儿童设计适合年龄段的访问在线服务的行为守则(守则)。磋商于2019年5月31日结束,但ICO最近发布了 更新 上 its progress in producing the Code.

在咨询期间,将通过450多次书面答复和40次与主要利益相关者的会议,为最终定稿的《守则》提供信息。

特别是,技术,电子游戏和互动娱乐行业的加工商应保持警惕。 ICO的更新突出表明,随着《守则》的引入,这些行业可能面临更大的挑战。 ICO正在为组织实施准则准备大量的支持包,并为设计师和工程师提供具体帮助。

更新还确认该守则不会将互联网划分为与年龄相关的区域。为此,ICO “希望提供者将其隐私设置默认设置为“高”,并制定处理儿童数据的策略”。尤其是,该守则将避免为儿童阅读新闻内容造成障碍。 ICO认为新闻在儿童的生活中起着根本性的作用。

该规范的最终版本将交付给数字文化文化传媒大臣&运动将于2019年11月23日开始。接下来的过渡期为一年,以允许组织使其在线产品和服务达到合规性。

评论

此更新对于阐明ICO对于在线提供商应考虑的有关儿童访问其服务的关键问题的初步想法。尽管很笼统,但有兴趣的各方可以查看 “标准” 在磋商中阐明了如何更好地指导最终法规的实质内容。科技,电子游戏和互动娱乐行业的公司应密切关注该守则,于2019年11月23日之前发布。我们期待从ICO那里获得更多实质性信息,包括进一步更新或最终确定的形式。代码本身。同时,请随时关注我们的博客,以了解该领域的任何发展。

LexBlog