HHS重新审查了《经济和临床健康法》健康信息技术的先前解释’s penalty structure

美国卫生与公共服务部(“ HHS”)提交了 强制执行通知 Decision (“强制执行通知”)在2019年4月26日,确认代理商’重新考虑其对《经济和临床健康法案》的解释。’s (“HITECH Act’s”)罚款结构。立即生效,HHS公民权利办公室(“ OCR”)将对特别违反1996年《健康保险携带与责任法案》的行为处以最高罚款(“HIPAA”)在单个日历年内发生的情况已普遍且已大大减少。修订后的刑罚结构强化了这样一种观念,即未来的HIPAA合规工作可能会对未来的执法产生重大的金钱影响。

要查看有关我们的完整文章 生命科学法律 更新博客,单击 这里。

佛蒙特州总检察长T.J.多诺万

查阅本月国际隐私专业人员协会(IAPP)出版的The 隐私Advisor,该出版物适用于Aaron Lancaster和Divonne Smoyer's 和 Q&与佛蒙特州总检察长A.J. 多诺万。作为总检察长,他通过在关注的问题上与社区合作并参与管理数据经纪人的州立法等活动,积极倡导消费者在隐私和数据安全方面的权利。

该文章可在IAPP上找到 网站.

德国DPA发布了有关‘broad consent’ 和 the interpretation of “certain areas of 科学研究”

2019年4月3日,德国数据保护局会议(德国DPA)发表了 解析度 关于GDPR第33条对“某些科学研究领域”的解释和“广泛同意”的概念(解析度)。

根据GDPR第33条,“在收集数据时,通常无法完全确定出于科学研究目的的个人数据处理目的。因此,在符合公认的科学研究伦理标准的前提下,应允许数据主体同意某些科学研究领域。”这被认为是“广泛同意”的概念。

GDPR第4条第11款所定义的同意必须是“具体的”。该要求与目的限制原则密切相关。德国DPA在决议中指出,“某些科研领域”一词与目的限制原则密切相关。该术语必须与GDPR第89条中广泛理解的“科学研究”一词区别开来,并且要进行狭义的解释。

德国DPA声明,只有在特殊情况下才能获得如此广泛的同意,因为在科学研究项目开始之初,在收集数据时无法完全确定数据处理的目的。但是,根据德国DPA的规定,广泛同意并不能免除控制者确定某些机制的责任,从而限制了以可理解的方式收集个人数据。因此,仅提及研究领域是不够的,因为知情同意书至少需要有关各自研究项目的进一步说明。 继续阅读

EDP​​B根据GDPR第6(1)(b)条处理个人数据的指南

欧洲数据保护委员会(EDPB)于2019年4月9日至10日举行了第九届全体会议。EDPB讨论了有关适用《 2016/679通用数据保护条例》(GDPR)的若干问题。 议程.

主要进展之一是通过了草案 指导方针 EDP​​B在GDPR第6条第1款(b)项的范围和适用方面广为人知,这是众所周知的“合同必要性”或“履行合同”的法律依据。 GDPR第6(1)(b)条为处理以下情况提供了合法依据“为了执行数据主体所参与的合同,或者为了在数据主体订立合同之前根据数据主体的要求采取步骤,必须进行处理”.

该准则对可能考虑的内容提供了重要的澄清“necessary”,以及在在线服务范围内进行处理的有用指南,以确保仅在适当时才依赖此法律依据。

继续阅读

美国立法者提出的算法责任法案

4月10日,美国议员提出了《算法责任法案》(AAA)。 AAA授权联邦贸易委员会(FTC)颁布法规,要求受保护实体对算法“自动决策系统”(包括机器学习和人工智能)进行影响评估,以评估其“准确性,公平性,偏见,歧视,隐私和安全性” 。”该法案提出了一种重要的趋势和战略,以规范技术和个人数据的使用,同时加强联邦一级的监管权并促进行业自我监管。拟议的AAA至少表明国会已经确定FTC需要更具体的权限来在此领域进行适当监管。

要详细了解新规定下的规则,请点击 这里.

意识还是审查制度?英国政府发布有关解决在线危害的白皮书

英国政府已经发布了 白皮书 概述了其管理互联网以应对在线危害的方法。

白皮书引用了英国的通信监管机构(Ofcom)和数据保护监管机构(信息专员's Office(ICO))进行的研究。研究发现,近四分之一的英国成年人因在线内容或在线互动而受到伤害。英国政府认为,目前针对网络危害的监管和自愿措施还不够深入或执行不力。

在线危害

白皮书广泛地确定了什么被视为在线危害。这些活动包括:

  • 儿童性剥削和性虐待(CSEA)
  • 恐怖主义
  • 骚扰
  • 虚假信息
  • 鼓励自残和/或自杀
  • 在线滥用公众人物
  • 干扰法律程序
  • 网络欺凌
  • 儿童访问不当内容

继续阅读

共享丰富的个人数据? ICO因非法共享个人数据对英国怀孕和育儿俱乐部处以40万英镑的罚款

信息专员办公室(ICO) 宣布 its intent to fine Bounty (UK) Limited (Bounty) £400,000 for breaching the 数据Protection Act 1998 (Act). Due to the timing of this breach, it was governed by the Act rather than by the General 数据Protection Regulation 2016/679 (GDPR). The maximum penalty permitted under the pre-GDPR regime in the United Kingdom was £500,000.

背景

赏金是一个怀孕和育儿支持俱乐部。它向母亲提供了信息包和糖果袋,以换取个人数据。它还提供了一个移动应用程序,供用户跟踪怀孕情况,并提供新生的肖像服务。它的画像服务是英国同类医院中规模最大的。

Bounty在其网站上制定了数据保护政策。数据保护政策规定,赏金:(i)出于营销目的收集个人数据; (ii)可能与选定的第三方共享个人数据。数据保护政策规定,用户可能会收到Bounty或第三方的通信。但是,该政策未明确标识与个人数据共享的第三方或第三方的类型。

赏金还使用在产科病房中完成的硬拷贝卡收集了个人数据。这些卡片表明,如果填写了卡片,收件人将同意Bounty处理其个人数据。卡片还简要概述了Bounty可以共享个人数据的可能性。但是,同样,没有包含有关第三方收件人的详细信息。收件人必须在填写卡片时提供姓名和邮政地址。为了利用Bounty的服务,收件人别无选择,只能提供一些个人数据。 继续阅读

针对两个组织违反新加坡数据保护法的警告

2019年4月23日,新加坡个人资料保护委员会(委员会)针对 PAP社区基金会导师城.

在这两种情况下,该委员会都根据违反《个人数据保护法》(PDPA)第24条的规定,向组织发出警告,警告其违反了保护义务,但未施加任何经济罚款。

PAP社区基金会(PCF)

该案的事实如下:

  • PCF提供幼儿园服务,并组织各种学校旅行。
  • 针对特定的学校旅行,PCF的一位老师向由学校学生家长组成的WhatsApp聊天组发送了一份综合出勤清单的照片。出勤清单包含15名学生及其父母的个人数据,其中包括5名父母的联系方式和国家注册身份证(NRIC)号码。
  • 一位家长提醒老师该未经授权的泄露,老师迅速删除了群聊中的消息。同一父母向委员会提出了投诉。

该委员会的调查结果如下:

  • 显然,PCF没有具体的政策或程序来指导其雇员(包括其教师)在与入学前班学生的父母的沟通中使用和披露个人数据。
  • 考虑到PCF员工和父母之间互动的频率,应该合理地制定此类政策和培训,以指导员工如何遵守PCF的数据保护义务。
  • 尽管PCF已为其员工提供了数据保护培训,但仅靠培训不能替代数据保护政策和程序。
  • 然而,值得称赞的是,PCF迅速采取行动解决了他们的政策不足。这具有缓解价值。委员会特别指出,PCF采取了以下补救措施:
    • 披露后立即暂停所有WhatsApp聊天组;
    • 加快了与社交媒体和WhatsApp聊天组的使用有关的规则的实施;
    • 推出数据保护策略,包括文档保留和信息安全策略;和
    • 编写实用的员工手册并对其员工进行进修培训。

继续阅读

保护儿童’的在线空间:ICO发布适合年龄的设计实践准则

英国信息专员办公室(ICO)就草案征询了意见 实务守则 为儿童设计适合年龄的访问渠道,以访问信息社会服务(ISS)提供的在线产品和服务。咨询会于2019年5月31日结束。守则草案规定了18岁以下儿童可以使用的任何在线服务的原则。

核心儿童的最大利益

该行为守则是基于《联合国儿童权利公约》的关键原则,即在所有有关儿童的行动中,儿童的最大利益应作为首要考虑。在当今无数种在线服务的背景下,父母和孩子们都变得越来越难以做出明智的选择或控制服务使用孩子的个人数据的方式。该守则旨在尊重父母的权利和义务,也要尊重孩子不断发展的做出自己选择的能力。

16个标题为“适合年龄的设计标准”

该规范要求ISS提供商通过其服务处理儿童的个人数据时,必须遵守16项累积标准: 继续阅读

LexBlog