更新了关于处理特殊类别数据的ICO指导

2019年11月14日,信息专员办公室(ICO)发布了指导(链接这里 对于处理特殊类别个人数据的组织(指导)。以前,组织倾向于仅在处理特殊类别个人数据时关注GDPR第9条处理基础。在ICO的此更新之后,提醒组织必须拥有 两个都 GDPR第6条 第9条在处理特殊类别的个人数据时处理基础。此外,在某些情况下,ICO将要求组织:(i)证明他们已经进行了数据保护影响评估; (ii)有适当的政策文件(由指导提供的模板),依赖于GDPR第9条加入特别类别数据,并符合2018年的数据保护法(DPA 2018)义务。

背景

特殊类别的个人数据在GDPR第9条第9(1)条中列出,并在协奏曲51中澄清。特殊类别数据比普通个人数据更敏感。因此,GDPR提供特殊类别的个人数据更大的保护。特殊类别个人数据涉及数据受试者的种族或族裔,健康信息,工会会员,宗教信仰,性历史或偏好等。还包括遗传和生物识别数据。在处理此类个人数据时,“个人基本权利和自由有重大风险”。因此,组织需要确保在处理时采取更大的小心。

继续阅读

开放银行:银行业监督的巴塞尔委员会发表说

2019年11月19日,巴塞尔银行监管委员会(BCBS)发表了其 报告 开放银行及其对银行和银行监管的影响。该报告在2018年开放银行和应用程序编程接口(API)上的BCBS之前的发现 报告 (“银行和银行监管人民币发展的影响的声音实践”)。我们从下面的数据保护透视中突出显示报告的结果。

背景

该报告(包括2018年报告)认识到技术进步和客户对更大获取信息和服务的需求转变了传统的银行业务,并潜在开设了现任银行之间的划分,专门的金融公司和新中介。

由于开放银行的服务多样性,第三方安排中的数据共享越来越普遍:财务管理工具,银行之间的无缝支付传输,垂直综合金融服务 - 清单持续。 BCBS专注于“客户允许的数据共享”,客户授予第三方公司通过客户的银行访问其数据。这些第三方公司将通过数据聚合器收集此类数据 - 这可能采用各种技术,例如屏幕刮擦或逆向工程,以访问和存储客户凭据。

继续阅读

艾普布采用最终版本的GDPR领土范围的指南

2019年11月12日,在第15次全体会议上,欧洲数据保护委员会(EDPB)通过了在公开咨询之后的一般数据保护条例(GDPR)的领土范围(GDPR)领土范围的最终准则。

我们之前曾考虑过我们博客的指导方针草案。这两个博客中的第一个考虑了GDPR的额外领土范围(这里),第二个博客文章认为需要非欧盟(欧盟)控制人员指定位于欧盟的代表(这里)。

在评估控制员或处理器是否在GDPR的领土范围内下降时,该指南旨在为数据保护机关提供常见的解释数据保护机关。最终指导方针保持了指导方针的第一次草案中通过的解释,但现在包括在公众咨询期间收到的eDPB发表评论的进一步解释。下面,我们在最终版本的可用指南中考虑一些EDPB的新增功能 这里.

继续阅读

德国DPA发布了50个组织的GDPR准备审计的调查结果

下萨克森数据保护机构(下萨克森DPA)已审核50个大中型组织,以自2018年6月自2018年6月以来审核了其实施GDPR的要求。2019年11月5日,下萨克森DPA发布了一份总结其调查结果的报告(报告;有德国人 这里)。

报告中的调查结果摘要

我们之前报道过我们的 博客 下萨克森DPA发布了用于评估审计组织的GDPR准备情况的清单(清单)。此检查表是一个有用的工具,用于确定组织是否具有GDPR合规性空白的位置。

下萨克森DPA现在已经总结了其审计的调查结果。它已根据交通灯系统分组审核组织:

  • 绿色(=主要令人满意):9个组织
  • 黄色(=一些缺陷):32个组织
  • 红色(=重大缺陷):8个组织

该报告还突出显示仍然提高最多的GDPR合规项目:

  • 大多数缺陷:IT安全,数据保护影响评估(DPIA.)
  • 中等缺陷:处理活动的记录(罗巴),同意,数据主体权利
  • 低缺陷:数据处理协议,数据保护人员(DPO),数据违规通知,问责制

继续阅读

新加坡银行的新要求包括在服务合同中保护客户数据的规定

2019年11月4日,新加坡的议会发布了对银行法案的修正草案。

根据“修正案”,所有银行将被要求评估其服务提供者的能力(无论这些是分支机构或办公室,或外方):

(a)保障保密性和完整性,并确保银行信息的可用性;和

(b)保护所有客户信息免受未经授权的披露,保留或使用。

如果服务提供商是银行的分支机构或办公室,则必须包含在分支机构或办事处的政策和程序中的具体规定。

但是,如果服务提供商是外部方,那么相关规定必须包含在银行和提供者之间的合同中。

此类政策和程序或合同,或合同,视情况而定,也必须在银行,监管机构(新加坡或MAS的货币管理局),或由银行任命的审计员审核,审计服务书籍的权利提供商确保已遵守上述要求。

继续阅读

欧盟 - 美国。隐私盾牌:欧盟委员会发出第三次年度审查报告

2019年10月23日,欧洲委员会(委员会)发布了其 报告 论欧盟 - 美国运作的第三次年度审查。隐私盾(隐私盾牌)。该报告总结了框架运作的各种改进,以及需要采取的进一步“具体步骤”以确保其持续有效性。

背景

委员会的隐私盾牌充足裁定决定委员会开展框架的年度审查。迄今为止,已有两项年度审查(2017年9月和2018年10月)。 2019年审查在华盛顿D.C.进行,委员会代表,欧洲数据保护委员会(EDPB),以及各种美国政府部门和办事处。委员会的调查结果分为:

  • 框架的商业方面(合规,行政,监督,美国当局的执行);和
  • 关于公共当局访问隐私盾牌的个人数据的方面。

我们专注于讨论审查的商业方面。

继续阅读

更新的eprivacy条例草案 - 欧盟委员会理事会芬兰主席旨在最终案文

欧盟委员会芬兰主席(芬兰主席)发布了2019年10月30日(可用)的“隐私和电子通信(Eprivacy监管”规定的更新草案) 这里)。电信和信息社会的工作组(WP Tele.)将于2019年11月7日的会议上讨论新草案。

由芬兰主席提出的修正案

芬兰主席计划在2019年11月7日讨论会议上的修正案包括:

继续阅读

AI审计框架:数据保护影响评估

2019年3月,信息专员办公室(ICO)发布了一个 呼叫输入 论ico制定ICO人工智能框架(AI)。 ICO同时推出了其AI审计框架博客,为框架的开发和鼓励组织与ICO有关的更新。

2019年10月23日,ico在其系列博客中发布了最新信息(这里)。博客概述了组织应在处理个人数据的AI系统进行数据保护影响评估(DPIA)时关注的关键元素。

我们已经概述了一些关键的外卖。

继续阅读

Bipartisan社交媒体数据搬迁法案在美国参议院介绍

社交媒体用户很快就可以轻松地将个人信息转移到竞争平台。 2019年10月22日,美国参议员(Mark R. Warner(D-VA),Josh Hawley(R-Mo)和理查德Blumenthal(D-CT)的Bipartisan集团介绍了 通过启用服务切换行为来增强兼容性和竞争 (访问法案),旨在通过要求最大的这些科技公司鼓励基于市场竞争的票据,以便最大的这些技术公司允许用户将其数据从一个服务移动到另一个服务。

该法案应由联邦贸易委员会(FTC)成为法律,并由联邦贸易委员会(FTC)监管和执行,并需要大型通信平台(在美国拥有超过1亿超过1亿活跃用户的产品或服务):

  • 通过允许用户以结构和机器可读格式检索和/或传输其个人数据来使用户个人数据便携式。
  • 维护与其他平台的互操作性,包括竞争公司。
  • 为用户提供指定可信第三方服务以管理其隐私,内容,在线交互和帐户设置的能力。

继续阅读

ico博客AI和数据主体权利

2019年10月15日,信息专员办公室(ICO)发布了最新的博客,即开发其审计人工智能(AI)的框架。博客(这里)专注于AI系统以及数据科目如何行使与此类系统相关的访问权,整改和擦除权。下面,我们总结了一些关键的外卖和我们对该主题的思考。

与培训数据有关的权利

组织需要数据以培训机器学习模型。虽然可能难以识别训练数据所涉及的个人涉及,但是它仍然可能是用于一般数据保护规则的目的(GDPR)的个人数据,因此仍然需要在响应数据主体权利请求时考虑在GDPR下。不提供例外应用程序和合理的步骤验证数据主体的身份,组织有义务响应与培训数据相关的数据主题访问请求。整改权也可能适用,但由于个人不准确性不太可能对作为大型数据集的各个数据主体的直接影响,组织应优先考虑可能对个人直接影响的纠正个人数据。

遵守来自数据受试者的请求删除培训数据可能会更具挑战性。如果组织不再需要个人数据作为机器学习模型已经接受培训,则ICO建议组织必须满足擦除请求。但是,组织可能需要保留尚未培训机器学习模式的培训数据。 ICO建议,组织应根据具体情况考虑此类请求,但不提供应考虑因素组织的澄清。

继续阅读

LexBlog