一年的GDPR - 由ICO学到的经验教训

信息专员办公室(ICO)已发表 更新 反映了过去一年的GDPR体验及其即将到来的优先事项,以保持相关,促进创新,并保持其职位 “国家和国际舞台上有影响力的监管机构”。

支持公众,DPO,中小企业和其他组织

GDP.的第一年使个人意识到他们与其个人数据相关的控制权,并且权力监管机构与保护此类权利有关。在翻盖方上,组织已经受到压力,以确保他们在新制度下符合个人数据的处理。 ICO已介绍业务,数据保护人员(DPO)和个人参与。过去一年,通过ICO Helpline,Live Chat和书面建议服务的联系人数量增加了66%。

此外,ico仍然指出,有很长的路要走,真正嵌入GDPR,充分了解新立法的影响“。 ICO调查的近一半的受访者证实,他们经历了GDPR的某些意想不到的后果。

因此,ICO继续生产全面的指导,博客,工具包,清单,播客和常见问题解答,以支持企业,特别是小型组织和唯一交易者,其中GDPR合规可能是特别具有挑战性的。 ICO发布的指导包括: GDP.指南, 这 执法处理指南以及它的互动工具 了解加工合法基础 而对于 持续的数据流程发生在禁止交易中.

继续阅读

FCA和PRA联合精细的Raphaels银行外包失败

R. Raphael.& Sons plc (拉斐尔)收到FCA和PRA的罚款总额为1,887,252英镑,以便重复失败 与支持其外包安排的监督和治理的系统和控制不足的关系。

拉斐尔外包某些功能,支持在英国和欧洲的预付款和充电卡计划到服务提供商的支付服务。这些功能包括用户在这些卡上的交易以及卡/程序管理的授权和处理(卡服务)。从2016年起,Raphaels在英国和其他欧洲国家的预付卡有530万张预付卡,平均每月交易量超过4.5亿英镑。

事件

在圣诞节前夕2015年,Raphaels的卡服务提供商遭受了IT事件。 IT事件导致所有卡服务的失败超过8小时,在此期间,Raphaels客户的3,367次无法使用他们的卡。在IT事件期间,在销售终端,ATM机和网上尝试了5,356名客户卡交易(总价值为558,400英镑)。这些交易无法授权并被拒绝。

调查

事件发生后,FCA和PRA调查了Raphaels及其服务提供商已建立的系统和控制。调查显示,Raphaels对服务提供商的业务连续性和灾难恢复安排的理解根本误解了。 Raphaels与服务提供商的合同协议未能包括有关提供关键外包服务的适当服务级别协议。特别是,没有任何过程来识别出暴露的外包风险敞开的风险。调查还透露,2014年之前的事件没有刺激拉斐尔来纠正这些失败,那么应该被确定。

评论

这种良好的强调利息监管机构在商业银行和零售银行部门的那些方面的关键职能外包。 PRA,在它的 最终通知,重申其预期,监管公司对未来服务提供商进行适当的尽职调查,从早期阶段设定明确的监督责任部门。通过考虑欧洲银行管理局的外包准则,也将提供涉及这些职能的外包或考虑外包的实体, 这里.

我们为那些对学习课程的人们从这个最近的监管干预中的学习课程中的学习课程进行了写作的Quickfire简报。有关更多信息,请联系。

FTC和DC律师将军’s office discuss federal and state privacy trends at Reed Smith

2019年5月21日,联邦贸易委员会(FTC)的代表和DC律师会议(AG)Karl Racine访问了Reed Smith,讨论了在联邦和州级别观看的数据隐私趋势。在IAPP知识日常演示中由Reed Smith Partner Divonne Smoyer,Maneesha Mithal(FTC司副主任的隐私和身份保护局,消费者保护局)和Ben Wiseman(Ag Racine的消费者保护办公室主任)讨论了他们的期望联邦隐私法,在隐私竞技场中扩大国家权威,以及在广泛的谈话中的隐私资源以及隐私资源。

继续阅读

庆祝GDPR.’s anniversary and preparing for year two

2019年5月25日是GDPR的第一个生日。自介绍以来,隐私和数据保护问题继续占据主导地位的公开辩论,监管机构已经发出了迫在眉睫的不合规的大罚款。现在是审查您的隐私和数据保护制度的适当时机。我们有更多的监管指导和案例法,而不是我们一年前的指导和案例法,而且在去年您的组织内的实践可能会覆盖。

考虑到这一点,并代替生日蛋糕,我们准备了一系列短暂的思路,包括看看你的待办事项列表中的待办事项列表,而GDPR的GDPR的表现形式年:

  • 一年的GDPR:欧盟成员国如何实施并强制新的数据保护制度?
  • 娱乐& Media:GDPR是一岁的历史:5件事要做两年的人
  • 生命科学:GDPR是一岁的历史:生命科学和医疗保健行业的5件事

 

 

FERC请求评论提出的新CIP可靠性标准调节控制中心之间的数据传输

2019年4月18日,联邦能源监管委员会(FERC)发布了拟议规则制定(NOPR)的通知,要求评论拟议的关键基础设施保护(CIP)可靠性标准CIP-012-1。如所写,CIP-012-1将需要负责任实体来实施控制,以保护通信链路和数据传输,以减轻网络安全风险对散装电动系统控制中心之间的通信进行通信。 FERC确认其概述在其NOPT中通过CIP-012-1,并邀请利益攸关方于2019年6月24日在CIP-012-1就CIP-012-1提交评论。

要阅读更多提议的CIP可靠性标准CIP-012-1以及FERC推荐的附加修改,请单击 这里.

新的OCR事实表澄清了HIPAA对商业伙伴的责任

美国卫生和人类服务部(HHS)公民办公室(OCR)释放了一个 事实表 澄清违反HIPAA(1996年的健康保险流通和责任法案),商业助理可以直接持有责任。事实表概述了10个特定情况,其中OCR有权针对商业助理执行执法行动。 OCR的澄清为商业伙伴提供了已久的清晰度,旨在一次对商业伙伴的执法一直在稳步上升的时候思考自己的HIPAA责任。

要在新的情况上阅读更多,请单击 这里.

一年的GDPR - 欧盟成员国如何实施并强制执行新的数据保护制度?

GDP.刚刚第一次生日。在GDPR变得有效之前,组织是焦虑的,因为法规规定了重罚。但他们的焦虑是合理的吗?作为第一步,欧盟成员国本身如何实施GDPR?本文将为这些问题提供简短的答案。

本地实施努力

虽然GDPR旨在统一欧盟的数据保护法,但允许欧盟成员国在某些情况下基于所谓的“开幕条款”,落实严格的本地规则。这些允许在重要问题上实施本地规则,例如指定数据保护官,儿童同意的年龄,在就业范围内的数据保护以及数据泄露通知义务。

欧盟成员国一般充分利用了此选项。德国是第一个通过行动来实现GDPR的成员国(目前正在制订修正案),但其他欧盟成员国迅速追随诉讼。

本地实现亮点

一些欧盟成员国介绍了值得注意的本地条款,特别是对于在这些司法管辖区开展业务的组织。一些例子是:

  • 在德国,连续使用至少10人处理个人数据的自动化处理的组织必须指定数据保护官。
  • 例如,法国有一些初步通知义务,特别是关于生物识别或遗传数据的处理。
  • 荷兰法律在荷兰语数据保护法中保留了关于敏感数据的处理的法规,例如在就业背景下。
  • 匈牙利和西班牙推出了关于已故个人的个人数据的规定。
  • 西班牙法律包括与例如视频监控,举报和个人的金融偿付能力相关的数据处理的具体规定。
  • 奥地利,捷克共和国和爱尔兰的法律规定了公共机构的精细系统宽松。

您可以在此找到所有实施法律及其专业的概述: //www.reedsmith.com/-/media/files/perspectives/2018/gdpr_factsheet_may2018.pdf?la=en. 继续阅读

宾夕法尼亚州高级法院持有县的互抚危害发生的是互联网诽谤诉讼的适当场所,确认50岁的询问适用于基于网站的索赔

宾夕法尼亚州高等法院统治了第一印象的问题,上周统治了约会于1967年的场地分析,重点关注传播对涉嫌诽谤诉讼的诽谤性报纸的位置。因此,基于网站内容的宾夕法尼亚州诽谤诉讼的适当场所是任何知道原告亲自阅读内容并理解原告的声誉有害的县。该裁决扩大了诽谤原告的潜在场地选择,可以导致网站出版商和社交媒体海报在宾夕法尼亚州任何县起诉。

继续阅读

英国高等法院表示没有......管理员不是控制器

最近的情况 绿色v。集团有限公司和其他人 [2019] EWHC 954 (Ch) 处理剑桥分析的破产已经阐明了管理员应在向其任命的公司提出主题访问请求时采取的方法。

管理失败......

在剑桥分析的臭名昭着的数据分析活动的后果中,本集团的公司遭受了严重的财务损失。行政诉讼程序被启动,但管理员无法盈利地实现本集团的业务。信息专员办公室(ICO)占据了管理者,也扣押了公司的笔记本电脑和服务器,这意味着企业无法继续交易。未能销售业务的企图导致管理人员将公司纳入义务清算,并要求他们被任命为清算人。

债权人的投诉......

目标债权人反对委任管理者作为后续清算人。在各种异议中,债权人抱怨,管​​理者在数据保护法下遭到违反职责。他在1998年的“数据保护法”下,对两组公司寻求执法通知,要求他们遵守主题访问要求,以便提供公司持有的个人数据的详细信息。

债权人还向管理人员撰写给申请政府听证会上的材料和口头提交的材料和票据的副本。管理员允许债权人的披露应用程序,最初拒绝,并最终提供所请求的文件。

一些数据保护问题......

在评估债权人的反对意见中,高等法院首先提到了之前的判例法,已建立了一个 清盘剂 不被视为公司处理的个人数据的控制器。作为一般规则,清算人充当公司的代理人,除非清算人决定将数据的处理作为主体而不是代理商,否则清算人不能被视为控制器。

在这里,管理员决定不通过ICO被扣押的700 Tberabytes的记录来搜索债权人的数据。法院一致认为,这是管理员很适合制作的决定。作为公司的代理人,其法定职责的范围有限,一名债权人的利益必须抵御债权人一般债权的利益。

法院还表示,管理员没有一般义务来调查与第三方(如数据主体)有关的数据违规行为。他们的职责仅延伸到调查董事欠本公司或债权人所欠的违规行为。

法院也接受了管理员“在不确定的法律背景下的商业判断“由于合规成本不成比例,不要上诉执法通知。这是因为管理人员在解决索赔和分配问题之前有权优先考虑恢复资产。但是,管理员未能“批评”欣赏法律发展领域的新局面的法律佳肴“。

评论

这一决定是一项欢迎司法澄清,即管理者(以及清盘人)不是控制者。更重要的是,它确认数据保护调查不是管理者或清算人来解决 - 这些应留在外部监管机构的领域,并以公共费用进行。虽然这对寻求Insolvent公司的信息的数据科目是坏消息,但清算和行政程序应仅用于他们所在,而不是“自由浮动公开探究在破产公司商业模式中隐含的可能非法活动“。

欧洲委员会公布了为保护人权监管的建议

欧洲人权委员会最近发表了委员会 建议书 通过各方通过开发,部署或实施人工智能的遵守遵守人权法规(AI.)。

该建议已向成员国发出。原则涉及利益攸关方,这些利益攸关方显着影响了AI系统的发展和实施。

专员侧重于10个关键行动领域:

    1. 人权影响评估(HRIA) - 会员国应建立一个实施HRIAS的法律框架。 HRIAS应以类似的方式实施,以其他影响评估,例如在GDPR下的数据保护影响评估。 HRIAS应该审查AI系统,以便发现,衡量和/或映射人权影响和风险。公共机构不应从不促进携带或出版HRIAS的提供者中获取AI系统。
    2. 会员国公开咨询 - 会员国应允许在与AI系统接触的各个阶段进行公共磋商,并在采购和HRIA阶段的最低限度。此类磋商需要发布AI系统的关键细节,包括操作,功能和潜在或测量AI系统的影响。
    3. 私营部门的人权标准 - 会员国应明确规定所有AI演员应该“知道并展示”遵守人权原则的期望。这包括参与透明的人权尽职调查过程,可以识别其AI系统的人权风险。
    4. 信息和透明度 - 应通知由AI系统进行决策的个人,并可以选择借助诉诸专业人士。没有AI系统应该如此复杂,它不允许人类审查和审查。
    5. 独立监督 - 成员国应制定对AI系统人权遵守的独立和有效监督立法框架。独立机构应调查遵守情况,处理受影响个人的投诉,并对AI系统能力的发展进行定期审查。 继续阅读
LexBlog