数据隐私

万豪确保ICO罚款减少80%,但这里是你错过的…

高速上英镑的高跟鞋发给英国航空公司的,信息专员办公室(“图标“)已发出Marriott International Inc.(”万豪),并发出等待已久的处罚通知,以惩罚其未能确保所处理的个人资料的适当保安。这家全球连锁酒店已被罚款1840万英镑,与ICO的意图罚款通知中预期的9920万英镑相比大幅减少。不幸的是,该决定没有对罚款从9920万英镑减少到2800万英镑的水平作出任何详细的解释。不过,进一步减少20%至2240万英镑是为了承认万豪的合作,进一步减少200万英镑是为了反映冠状病毒大流行的影响。阅读更多

模范和破纪录:经过两年的调查,英国ICO向英国航空公司开出了迄今为止最大的罚单(2000万英镑)

When British Airways (“BA”) suffered a significant personal data breach in September 2018, just months after the coming into force of the EU General Data Protection Regulation (“GDPR”), all eyes were on the UK’s Information Commissioner’s Office (“ICO”). Would the ICO use the UK’s flagship airline as a “poster child” for post GDPR enforcement? Was this the moment that much-hyped fines of up to 4% of global turnover come to pass?阅读更多

SEDONA会议提出了“合理安全”的法律测试

与网络安全相关的法律风险继续增加,因为监管机构和原告的律师在使现行法律下的网络安全索赔越来越咄咄逼人,并且即立法机构继续颁布新的律师。根据这些法律提出的许多网络安全声称的一个关键因素是要求证明该公司未能为个人信息实施“合理”的安全性。加州’s new Consumer Privacy Act (“CCPA”), for instance, allows consumers to sue businesses for statutory damages when specified types of personal information are subject to unauthorized access and exfiltration, theft, or disclosure because of a failure to implement and maintain “reasonable” security measures and the business has not cured the alleged violation within the CCPA’s pre-suit period. Cal. Civ. Code § 1798.150. Even though consumers often suffer no injury in a data beach, the CCPA provides for statutory damages of $100–$750每次事件的每次消费者阅读更多

英国国家数据战略:欧盟数据充足性的错误方向?

2020年9月,英国政府发布了其国家数据战略(“NDS”),旨在利用数据来提高英国经济,并“解锁英国的数据权力”,特别是在Brexit的光线。据最近宣布政府利用数据责任将从数字文化媒体和体育部门迁移到内阁办公室,旨在提出英国政府的政府专注于数据。阅读更多

面对在英国使用生物识别技术

在世界上第一个关于使用自动面部识别和生物识别技术的合法性的测试案例之一,于2020年8月11日,英国法院向上诉判决R (Bridges) vs CC南威尔士。法院发现,南威尔士警方使用这种技术侵犯了隐私、平等和数据保护法律。阅读更多

美国最高法院未决案件可能限制联邦贸易委员会在隐私和网络安全问题上寻求金钱救济

Earlier this month, the U.S. Supreme Court agreed to hear a pair of cases that provide it with the opportunity to severely restrict the Federal Trade Commission’s (“FTC’s”) authority to obtain equitable money relief in consumer protection enforcement actions, including privacy and cybersecurity matters. Under Section 13(b) of the FTC Act, in certain circumstances the FTC is empowered to bring actions in federal court to seek temporary restraining orders and injunctions for violations of the Act. In two consolidated cases,FTC v。信用局中心,LLCAMG Capital Management,LLC v。FTC,最高法院现在将考虑作为FTC索赔,这项规定还授权原子能机构寻求公平的救济,即使规定没有提及救济。该决定将具有广泛的影响,因为FTC依赖于第13(b)条,以寻求消费者保护执法行动的货币救济,包括隐私和网络安全事项。针对FTC的裁决可以大大改变FTC的隐私权和网络安全的方法。

联邦贸易委员会的隐私和网络安全执法行动通常依赖于《联邦贸易委员会法案》第5条,该条款禁止不公平或欺骗性的贸易行为。联邦贸易委员会的立场是,未能实施“合理”的网络安全或隐私做法可能构成“不公平”做法,而根据该法规,就这些做法做出虚假或误导性陈述可能是“欺骗性”的贸易做法。

FTC可以以两种方式强制执行第5部分。首先,它可以依赖其传统的行政执法机构,这使得FTC能够启动行政诉讼,以发出“停止和停止和停止”违反第5节的命令,但仅在有限情况下提供货币救济。其次,在某些情况下,FTC可以根据“FTC法”第13(B)条直接在联邦法院诉讼。虽然第13(b)第13(b)条仅授权“禁令”,但FTC通常会在联邦法院的本节中提出案件,要求在恢复,剥夺和撤销合同等公平理论下的货币救济。

直到最近,法院普遍接受了联邦贸易委员会的广泛观点,即根据第13(b)条,其有权获得“禁令”,使其能够寻求公平的货币救济。但这种情况已经开始改变。在信贷局,第七次电路拒绝了FTC的位置,第13(b)条授权货币救济地面,即暗示的公平货币补救措施与FTC法案的明确补救计划不相容。最值得注意的是,法院指出,如果FTC遵循某些程序,FTC法案有两项详细的补救条款,明确授权公平的资金救济。FTC对第13(B)第13(B)的广泛阅读将使原子能机构规避这些条件,以获得公平的救济,违反国会的意图。和在AMG资本管理,虽然第九次电路被认为本身必然遵循其先前的先例,但允许FTC根据第13(b)条根据第13(b)部分获得资金救济,这三个小组成员中的两名争论认为这个职位是“不再有权”的特殊并发。A.第三巡回法院的判决虽然没有解决FTC在第13(b)条根据追求资金救济,但持续这种救济必须最低的事实符合令人担任公司“违反,或即将违反”的事实,“ 法律。

如果最高法院限制或消除FTC追求公正的公平救济条款第13(b)条,其决定将为FTC最近试图扩大隐私权和网络安全案件的纠正权限而言,这一决定将代表重大挫折。2018年6月,医学实验室Labmd获得了推翻FTC网络安全执法行动的首次法院决定,使第十一回路令人信服旨在施加要求LABMD实施“合理”数据安全的FTC停止和停止秩序的第十一回路是不受欢迎的。(指导那种努力的团队 - 由Doug Meat和Michelle Visser - 2019年1月加入Orrick。)刹车,the FTC’s new Chairman, Joseph Simons, stated that he was “very nervous” that the agency lacked the remedial authority it needed to deter allegedly insufficient data security practices and that, among other things, the FTC was exploring whether it has additional untapped authority it could use in this space. The FTC has followed through on that promise in the ensuing years, pursuing a wide range of additional remedies, including equitable money relief. An adverse ruling by the Supreme Court could strike a severe blow to the FTC’s efforts on this front.

这种裁决是完全可能的。就在上个月章词六,最高法院承认了证券交易委员会(Securities and Exchange Commission,简称sec)的分出权的限制,认定该权力仅限于在救济不超过违法者的净利润并给予受害者的情况下。然而,与联邦贸易委员会法案不同的是,SEC法案明确授权SEC寻求“公平救济”。因此,合并amg.信贷局案件提供了最高法院的机会,了解FTC的权力甚至更大限制,以便根据第13(b)条 - 或者,随着第七次巡回所做的信贷局,拒绝这种权威。

虽然在短期内,这样的裁决可以减少FTC隐私和网络安全的货币风险,用于收集个人信息的公司,它可以作为立法提案的催化剂,以便向警察隐私和安全侵犯国家提供全国公司的重大新权力评估民事处罚。

为了更详细地讨论这些案件,或者对于FTC的隐私和网络安全执行计划的建议,请随时联系我们隐私和网络安全团队的任何成员,这些团队在该地区具有巨大的经验。

法国的最高行政法院坚持谷歌的5000万欧元

2019年1月21日,法国国家数据保护管理局(CNIL)根据《通用数据保护条例》(“GDPR”)向谷歌开出了5000万欧元的罚单,原因是谷歌在用户配置Android移动设备时,未能(1)以易于获取的形式、使用清晰的语言提供通知,(2)征得用户同意,为AD个性化目的处理个人数据。CNIL的执行行动和罚款是由两个非营利协会提出的诉讼,“没有你的业务”和“La Quadrature du Net”。这是法国国家法律委员会根据《GDPR》开出的第一笔大额罚款,也是迄今为止最高的罚款之一。在决定罚款数额时,CNIL考虑了违反GDPR(透明度和同意)基本原则的事实,违反行为仍在继续,Android操作系统在法国的重要性,而向用户提交的隐私通知涵盖了许多处理操作。谷歌对该决定提出上诉。阅读更多

法国数据保护管理局发布一份关于摘牌权主要特征的问答

2020年4月7日,法国数据保护机构(CNIL)在其网站上发表了一个关于取消列表的问答。去列出的权利使得能够从搜索引擎的请求执行数据,以在使用数据主题的名称和姓氏执行搜索请求时删除一个或多个结果。

本出版物的时间很有趣,因为法国最高行政法院决定后几天发生了几天(Conseil d'Etat.)在所谓的谷歌案件。

阅读更多

更多关于德国工作场所互联网和电子邮件合规使用和监控的数据隐私指南

互联网数据隐私

最近,柏林-勃兰登堡地方劳动法院就雇主在未经员工同意的情况下查看浏览历史的权利作出了裁决。

奥里克的德国就业团队发布了一个关于此判决的客户通讯,也可以找到这里

阅读更多