爱尔兰DPC对Meta处以2 . 65亿欧元的罚款和整改措施 | 全球数据合规资讯周报
热点新闻
阿根廷AAIP宣布批准第108+号公约
希腊在议会提出保护通信和隐私的法案
欧盟理事会通过欧盟多拉条例
日本PPC发布针对非法处理破产人个人资料的企业的行政措施
澳大利亚参众两院通过隐私执法法案
美国OCR发布在线跟踪技术HIPAA要求公告
爱尔兰DPC对Meta处以2 . 65亿欧元的罚款和整改措施
意大利Garante因多项GDPR违规行为对Douglas Italia罚款140万欧元
法国CNIL因数据安全和透明度违规对法国电力罚款60万欧元
全球数据立法动态
01
阿根廷:AAIP宣布批准第108+号公约
阿根廷数据保护局(AAIP )于2022年11月30日宣布,继阿根廷众议院于2022年11月10日批准关于在个人数据自动处理方面保护个人的第27.699号法律(第27.699号法律)后,颁布了第27.699号法律。AAIP指出,第27.699号法律在官方公报上公布后,于2022年11月30日颁布。
AAIP强调,第27.699号法律已于2020年6月12日送交参议院,直到2022年11月才获得必要的批准。此外,AAIP强调,阿根廷已于2019年批准了《在个人数据自动处理方面保护个人公约》(第108号公约),是第33个签署第108+号公约的国家。
2022.12.1
02
希腊:在议会提出保护通信和隐私的法案
司法部于2022年11月29日宣布,通信剥夺、网络安全和隐私法案已提交希腊议会。该部特别强调,该法案旨在解决保护公民权利方面的缺陷,并在保护隐私和国家安全之间实现必要的平衡。
该部指出,该法案下的“国家安全理由”范围大大缩小,在该法案中被定义为与保护国家基本职能和希腊公民根本利益有关的理由,而指示性清单包括与国防、外交政策、能源安全和网络安全有关的理由。同样,国防部详细说明,出于国家安全原因,对信息解密提出了更多的文件要求。值得注意的是,该部规定,根据该法案提出的解密请求必须包括构成风险的因素、解密的对象或内容以及绝对必要的时间期限。
该部概述说,根据该法案,有理由解密信息的罪行清单已经简化,只有特别臭名昭著的罪行才可能失去个人信息的保密性。
此外,该部表示,该法案规定在电信和邮政总秘书处网络安全总局内设立一个统一的网络安全参考中心(“中心”)。具体而言,该部称,该法案下的中心旨在发展、支持和加强国家一级发现和应对网络攻击的能力。
2022.12.1
03
欧盟:理事会通过欧盟多拉条例
欧洲联盟理事会于2022年11月28日宣布通过《金融部门数字运营复原力条例》并修正第1060/2009号条例(欧盟)、第648/2012号条例(欧盟)、第600/2014号条例(欧盟)和第909/2014号条例(欧盟多拉条例),从而标志着立法进程的最后一步。采用欧洲议会于2022年11月10日通过。理事会特别强调,既然DORA正式通过,每个成员国都必须将其中提出的要求纳入国家立法。与此同时,理事会规定,相关的欧洲监管当局将制定所有金融服务机构必须遵守的技术标准,从银行到保险和资产管理,而相应的国家主管当局将发挥合规监督的作用,并在必要时执行DORA。
值得注意的是,捷克共和国财政部长zb ynk stan Jura指出,"我们生活在一个不确定的时代。在欧洲提供金融服务的银行和其他公司已经制定了IT安全计划,但我们需要更进一步。由于我们今天通过的协调一致的法律要求,我们的金融部门将能够更好地继续在任何时候发挥作用。如果对欧洲金融部门发动大规模攻击,我们将做好准备”。
2022.11.28
04
日本:PPC发布针对非法处理破产人个人资料的企业的行政措施
个人信息保护委员会(“PPC”)于2022年11月2日宣布,经调查后,已根据《个人信息保护法》(2003年第57号法案,2020年修订)(“APPI”)第42条对违反APPI第16-2条、第18(1)条和第23(1)条的企业经营者采取行政措施。
指导的背景
PPC强调,企业经营者在其网站上处理个人信息,如收到启动破产程序的决定或启动民事重整程序的决定的个人的姓名和地址,这些信息被大量不特定的人使用。更具体地说,PPC指出,这些数据是以与互联网上发布的数据地图相链接的形式显示的,尽管完全可以预见这可能导致对有关个人的财产和人格歧视。
PPC的调查结果
经过调查,PPC得出结论,个人数据的使用方式可能会鼓励或诱导违反APPI第16-2条的非法或不公平行为。此外,PPC认为该网站以上述方式使用个人信息,并且在获得个人信息后没有及时通知或公开宣布个人信息的使用目的,因此违反了APPI第18(1)条。此外,PPC详细说明,在互联网上向许多人提供个人数据的网站使得未经当事人事先同意向第三方提供个人数据成为可能,并指出未经当事人事先同意向第三方提供个人数据违反了APPI第23(1)条。
结果
鉴于上述情况,PPC于2022年11月2日命令企业经营者立即停止通过网站提供个人数据,并详细说明企业经营者没有回应PPC的建议。
此外,该公司确认,它已提出刑事申诉,寻求根据APPI第85条实施处罚,并表示,如果有关经营者今后违反该命令,它将寻求根据APPI第83条实施处罚。最后,PPC确认已根据APPI第58-4条向该经营者送达了公告。
2022.11.28
05
澳大利亚:参众两院通过隐私执法法案
澳大利亚议会于2022年11月28日宣布,2022年隐私立法修正案(执行和其他措施)在参议院和众议院获得通过。该法案修订了以下内容:
· 《2005年澳大利亚通信和媒体管理局法》,使澳大利亚通信和媒体管理局能够向负责执行一项或多项联邦法律的非公司联邦实体披露信息;
· 《2010年澳大利亚信息专员法案》,允许澳大利亚信息专员办公室(“OAIC”)授予某些职能或权力;和
· 《1988年隐私法》(第119号,1988年) (经修订)(《隐私法》),以扩大OAIC的执法和信息共享权力,并加大对严重或反复干涉隐私的处罚力度。
此外,该法案提高了对严重或反复侵犯隐私的最高处罚,从目前的222万澳元(约为1000万元人民币)提高到2000万澳元(约为1000万元人民币)。1,425,830欧元)罚款,以下列金额中较高者为准:
·5000万澳元(约€32,405,100);
· 通过滥用信息获得的任何利益价值的三倍;
· 公司在相关期间调整后营业额的30%。
此外,该法案授权OAIC获取与符合条件的数据违规行为有关的信息或文件,并在确信符合公众利益的情况下披露某些信息。
2022.11.28
06
美国:OCR发布在线跟踪技术HIPAA要求公告
美国卫生与公众服务部(“HHS”)民权办公室(“OCR”)于2022年12月1日宣布发布其新公告,强调了1996年健康保险便携性和责任法案规则(“HIPAA”)涵盖的实体在使用在线跟踪技术时受HIPAA隐私、安全和违规通知规则(“HIPAA规则”)监管的义务。OCR指出,这些技术收集和分析有关互联网用户如何与受监管实体的网站或移动应用程序交互的信息,HIPAA下的相同受监管实体可能以违反HIPAA规则的方式与在线跟踪技术供应商共享电子受保护健康信息。
此外,OCR解释说,其公告解决了HIPAA监管实体向在线技术跟踪供应商不允许披露电子受保护健康信息的问题,并概述了什么是跟踪技术,如何使用跟踪技术,以及相同的监管实体在使用跟踪技术遵守HIPAA规则时必须采取哪些步骤来保护电子受保护健康信息。
具体来说,OCR提到其公告提供了在网页上和移动应用程序中进行跟踪的示例,并回答了关于如何保护HIPAA监管实体处理的健康信息的隐私和安全的问题。
2022.12.2
全球数据执法动态
01
爱尔兰:DPC对Meta处以2 . 65亿欧元的罚款和整改措施
数据保护委员会(“DPC”)于2022年11月28日宣布公布2022年11月25日发布的最终决定,其中对Meta Platforms Ireland Limited处以2.65亿欧元的罚款,作为社交媒体网络脸书的数据控制者,并在对数据废弃进行调查后,对违反GDPR第25(1)和25(2)条的行为采取了谴责和纠正措施。
决定的背景
该委员会解释说,它已于2021年4月14日启动了一项调查,根据媒体报道,发现了一个在互联网上提供的脸书个人数据的核对数据集。
DPC的调查结果
在调查结束时,DPC概述了调查的范围涉及对脸书搜索、Facebook Messenger联系人导入程序和Instagram联系人导入程序等工具的审查和评估,涉及Meta在2018年5月至2019年9月期间进行的处理。此外,DPC强调,调查中的实质性问题涉及遵守GDPR中的数据保护义务的问题。在这方面,预防犯罪委员会根据GDPR第25条审查了技术和组织措施的实施情况。
此外,DPC强调调查是全面的,包括与欧盟所有其他数据保护监管机构的合作。随后,刑事调查委员会指出,这些监管机构同意刑事调查委员会的决定。
结果
最后,竞争和消费者委员会对Meta处以2 . 65亿欧元的罚款,并对其进行了申斥,还下令Meta在特定的时间范围内采取一系列具体的补救措施,使其处理符合要求。
2022.11.28
02
意大利:Garante因多项GDPR违规行为对Douglas Italia罚款140万欧元
意大利数据保护局(Garante)于2022年11月28日在其月度通讯中宣布,公布了于2022年10月20日发布的第348号决定,其中对Douglas Italia S.p.A .处以140万欧元的罚款,并向其发出了各种合规令,原因是其违反了GDPR第5(1)(b)、5(1)(e)、5(2)、6、7、12(1)、13(2)(a)、24和25(1)条。
决定的背景
Garante报告称,投诉人对Douglas Italia在请求行使其数据主体权利后没有做出回应表示遗憾。
此外,Garante指出,它已经启动了一项调查,在调查期间,Douglas Italia澄清说,它是由三家公司(“公司”)合并而成的,因此,Douglas Italia的数据库(包含约1,000万名客户)包括了最初属于这些公司的数据库。
Garante的调查结果
在调查结束时,Garante确定,未能回应投诉人的请求是一个偶发事件,总体而言,Douglas Italia以正确和及时的方式处理了数据主体的请求。
然而,Garante发现Douglas Italia违反了:
· GDPR第6条和第7条,要求用户同时同意一般销售条款和条件、隐私声明和cookie政策;
· GDPR第5条第(2)款和第24条,因为它无法提供公司客户同意更新其富达卡的证据,也无法提供关于公司进行的加工操作的任何证据;
· GDPR第5(1)(b)条和第5(1)(e)条,将未向Douglas Italia更新其富达卡的公司客户的数据存储在非活动状态,以便于可能的富达卡更换;
· GDPR第13(2)(a)条,因为Douglas Italia的做法与隐私声明中提供的信息之间存在差异;
· GDPR第12条,因为缺乏关于数据处理的信息的透明度和可获得性;
· GDPR第5条第(2)款、第24条和第25条第(1)款,因为用于收集对直接营销的同意的表格中的选项与具体的操作实践之间缺乏一致性;在这方面,Garante确定,只同意电话营销的客户也会收到短信营销通信,反之亦然;和
· GDPR第5条第(2)款、第13条和第24条,因为Douglas Italia无法就通过Douglas Italia的博客收集的数据的收集目的和保存期限提供任何说明,并且缺乏关于通过所述博客收集的数据的信息。
结果
鉴于查明的违法行为,Garante开出了140万欧元的罚款,并命令Douglas Italia:
· 修改应用程序的布局,确保隐私声明和cookie政策之间有明确的区别,并且两个文本都只表明实际执行的处理和追求的目的;
· 在15天内删除公司客户储存了十年以上的个人资料;
· 在30天内删除或使用假名删除公司客户的个人数据,最早可追溯到十年前,在后一种情况下,在其网站上进行广告宣传,并向有电子邮件地址的客户发送通知,告知他们如果不续签富达卡,他们的数据将在六个月内被删除;
· 在上述六个月期限到期后的15天内,删除所有在收到上述通知后决定不续签富达卡的客户的个人资料;
· 采取适当的组织和技术措施,并在30天内提供反馈。
最后,Garante指出,Douglas Italia可以在30天内向司法当局提出上诉。
2022.11.28
03
法国:CNIL因数据安全和透明度违规对法国电力罚款60万欧元
法国数据保护局(“CNIL”)于2022年11月29日宣布,其已于2022年11月24日发布审议意见 第SAN-2022-021号,其中对法国电力公司(“法国电力”)处以600,000欧元的罚款,原因是其违反了GDPR第7(1)、12、13、14、15、21和32条,以及《邮政和电子通信法》(2016年最后一次修订)(“通信法”)第L. 34-5条。
案件背景
具体而言,CNIL概述说,在收到几起关于人民的权利难以得到欧洲人权论坛考虑的投诉后,该国对欧洲人权论坛进行了检查。
CNIL的发现
根据调查结果,CNIL认定,法国电力公司没有事先获得个人对商业勘探活动的有效同意,违反了GDPR第7(1)条和《通信法》第L. 34-5条。此外,CNIL证实EDF违反了:
· GDPR第13条和第14条规定的通知人民的义务,因为网站没有具体说明每一次数据使用所对应的法律依据、确切的存储期限以及数据的确切来源等;
· 根据GDPR第12条行使权利的程序,因为EDF没有在一个月内对某些投诉作出答复;
· GDPR第15条规定的准入权和《GDPR》第21条规定的反对权,因为法国电力提供的关于所收集数据来源的信息不准确,而且没有考虑到商业勘探收到的反对意见。
此外,CNIL解释说,法国电力还违反了确保个人数据安全的义务,因为在2022年7月之前,超过25,000个账户访问prime energy门户网站客户区的密码以不安全的方式存储,密码只是经过哈希处理,没有经过加盐处理(在哈希前添加随机字符,以避免通过比较哈希找到密码),这使他们处于危险之中。
在计算罚款时,CNIL考虑到了已查明的违约行为,以及该公司的合作情况和在诉讼过程中为纠正被指控的所有缺陷而采取的所有措施。
结果
因此,CNIL对法国电力处以60万欧元的罚款,并公布了审议结果。
2022.11.29
W&W国际法律团队
专注互联网出海法律实务:
互联网产品合规、出海合规
以及全球数据保护与个人信息保护合规。
已为多家知名互联网公司
及大中型外资企业提供专业法律服务。
覆盖以下行业领域:
智能终端制造、IOT、人工智能、
云计算与服务、社交网络平台、移动互联网、
电子商务及平台、短视频视听直播、网络游戏
以及个人信息保护、数据安全等行业领域。
我们已经为正在服务的客户
提供了多达100+期全球数据合规资讯周刊
若需获取本期独家、详细版本资讯周刊
欢迎联系王捷律师
尽享互联网出海法律干货
主编介绍
王 捷
执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。
王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。
联系方式:
资讯编写
郭佳仪
垦丁律师事务所W&W国际法律团队实习生。
协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。