跳转到主要内容

【美国员工违规】美国:雇主是否对员工行为导致的违规行为负责?他们应该怎么做?

既然“网络安全”是一个董事会层面的话题,雇主是否应对员工行为导致的违规行为负责的问题经常被讨论。尽管答案直截了当,但如何应对却要微妙得多。Sharpe Management Consulting LLC的负责人Alex Sharpe讨论了保护、检测和恢复的框架和关键问题,得出了可能产生真正影响的五个步骤。

很难想象雇主对雇员行为导致的违约行为不承担潜在责任的情况。责任是一个法律问题,对事实非常敏感。更相关的问题是,“对企业造成经济损失的潜在来源是什么,我们该怎么做?”

历史表明,根本问题是:

  • 组织是否已采取一切实际措施防止违规行为?“是”越强,经济影响就越小。
  • 组织是否对违规行为进行了充分规划并做出了响应?“是”越强,经济影响就越小。

您可以考虑以下方面的财务影响:

  • 监管机构和司法管辖区的罚款和处罚;
  • 赔偿受损害的第三方的财务义务;
  • 无法经营造成的业务损失;
  • 回收成本;和
  • 声誉受损。

声誉损失可能是最大的,并将随着资产变得更加无形而继续增长。

【香港PCPD】香港:PCPD关于推荐示范条款的指导意见-含义和与欧盟SCC的比较

鉴于近年来个人数据处理日益数字化和业务运营全球化,个人数据隐私专员(“PCPD”)最近发布了《跨境个人数据传输推荐示范合同条款指南》(“2022年指南”)。1本协议旨在协助组织制定适当的合同条款,以在香港的数据隐私制度内实现此类传输。Linklaters的Albert Yuen、Yang Fan和Eunice Lee研究了2022指南的关键方面,并与欧盟2021标准合同条款(“欧盟SCC”)进行了比较。

出身背景

虽然香港数据隐私法、《个人数据(隐私)条例》(第486章)(2012年修订)(“PDPO”)下的跨境传输控制尚未生效,但建议香港机构在其商业合同中实施2022年指南中所附的最新推荐合同示范条款(“RMC”),作为最佳做法。虽然RMC将涵盖从香港向外部管辖区传输数据的数据隐私合规性,但通常与位于香港以外的对应方(无论是集团间还是与第三方处理方)存在双向数据流。因此,国际组织还需要考虑从对方将其数据传输到香港的司法管辖区(例如欧盟)遵守适用数据隐私制度的数据传输要求。

【中国PIPL】中国:PIPL实施挑战和最佳实践

随着《个人信息保护法》(“PIPL”)的生效,大多数组织,特别是在中国开展业务的国际公司,都积极遵守《个人信息法》。然而,PIPL的一些条款非常高层次和一般性,可能需要中国立法者或数据保护机构的进一步指导来补充。例如,某些要求似乎不切实际,例如有关数据本地化、数据传输和数据保护官员(“DPO”)要求的要求,这可能会导致合规工作的误解或困难。Fieldfisher的法律顾问张德豪(Dehao Zhang)提供了一些切实可行的建议,帮助企业保持合规性。

数据本地化

大多数组织都有这样的问题:我们是否需要在中国本地存储个人信息?我们是否需要在中国建立或购买数据中心或服务器?

为了回答这些问题,首先,我们必须明确,中国的数据本地化要求并不意味着禁止数据传输。数据本地化要求仅要求原始数据首先存储在中国,根据PIPL的数据传输要求,即使该组织受到数据本地化要求的约束,此类数据也可以在中国境外传输。

【欧盟个人数据】欧盟:为就业目的处理与刑事定罪有关的个人数据-第一部分

根据《一般数据保护条例》(条例(欧盟)2016/679(“GDPR”)第10条,处理与刑事定罪相关的个人数据概述了此类数据的处理受到额外限制。OneTrust DataGuide Research分析了成员国在法国、葡萄牙和意大利为就业目的处理与刑事犯罪相关的个人数据的要求,其中包括来自Abreu Advogados的Ricardo Henriques、来自Addleshaw Goddard LLP的Sarah Delon Bouquet和来自Panetta Studio Legale的Rocco Panetta的见解。第二部分侧重于捷克共和国、德国和西班牙的成员国要求。

关于为就业目的处理犯罪数据的一般立法

特别是,GDPR概述了与刑事定罪相关的个人数据的处理只能在官方机构的控制下进行,或在欧盟或成员国法律授权的情况下进行,为数据主体的权利和自由提供适当保障(《GDPR》第10条)。

因此,刑事个人数据的处理在司法管辖范围内有所不同,出于就业目的的处理需要具体的法律依据。

意大利

Rocco Panetta概述说,“在当前的意大利法律框架下,雇主不得再根据意大利数据保护局(“担保人”)的一般授权处理员工的司法数据,因为该授权缺乏任何规定效力。

【欧盟个人数据】欧盟:为就业目的处理与刑事定罪有关的个人数据-第二部分

根据《一般数据保护条例》(条例(欧盟)2016/679(“GDPR”)第10条,处理与刑事定罪相关的个人数据概述了此类数据的处理受到额外限制。OneTrust数据指导研究分解了成员国在捷克共和国、德国和西班牙为就业目的处理与刑事犯罪相关的个人数据的要求,其中包括哈维尔和合伙人公司的BartošVojtěch和EmaČerná、莱瑟姆和沃特金斯律师事务所的Clemens Ganz和Isabelle Brams博士以及胡安·伊格纳西奥·阿隆索·德雷吉的见解,来自Ceca Magán。第一部分侧重于法国、葡萄牙和意大利的成员国要求。

关于为就业目的处理犯罪数据的一般立法

特别是,GDPR概述了与刑事定罪相关的个人数据的处理只能在官方机构的控制下进行,或在欧盟或成员国法律授权的情况下进行,为数据主体的权利和自由提供适当保障(《GDPR》第10条)。

因此,刑事个人数据的处理在司法管辖范围内有所不同,出于就业目的的处理需要具体的法律依据。

【加拿大DCIA】加拿大:2022年数字宪章实施法案-您需要了解的内容

2022年6月16日,下议院提出并通过了法案C-27,该法案旨在制定《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》,并对其他法案进行相应和相关修订,也被称为《数字宪章实施法2022》(“DCIA 2022”)。2021,《2020年数字宪章实施法案》的C-11法案未能通过。2022年DCIA分为三个主要部分,旨在制定三项新法案,即《消费者隐私保护法》、《个人信息和数据保护法庭法》和《人工智能和数据法》。

在本文中,OneTrust DataGuide Research概述了DCIA 2022的各个部分及其主要条款,重点介绍了业务的关键发展和注意事项。

介绍

DCIA 2022旨在制定规则来管理个人信息的保护,并以一种承认个人对其个人信息的隐私权,以及组织收集、使用或披露此类个人信息的相关需求的方式,以达到理性人士认为适当的目的。

为确保这一点,DCIA 2022将适用于以下个人信息方面的每个组织:

【美国Cookie合规】美国:加利福尼亚州、弗吉尼亚州、犹他州、科罗拉多州和康涅狄格州的Cookie法规-朝着和谐的方向发展

随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法,隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务,而消费者则欢迎他们提高数据保护权,以更好地保护消费者隐私。

《2020年加州隐私权法案》(“CPRA”)和《弗吉尼亚州消费者数据保护法案》(“CDPA”)将于2023年1月1日生效,虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》(“CPA”)和《康涅狄格州个人数据隐私和在线监控法案》(“CTDPA”)将于2023年7月1日生效,而《犹他州消费者隐私法案》(“《UCPA》”)将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用,他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中,我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧,以期制定出一种协调一致的合规方法。

【国际营销合规】国际:营销和数据保护

市场营销是企业的一个基本部分,包括一系列旨在推广和销售产品或服务以及管理企业品牌声誉的战略和策略。在由两部分组成的业务职能系列的第一部分中,绩效评估研究所营销与通信和数据保护主任Joanna Kennedy讨论了与营销和数据保护相关的考虑因素和挑战。

营销专业人员的背景和面临的挑战

在不断变化的隐私环境中,营销专业人员面临重大挑战。技术进步提供了更多的选择,并使生成的数据比以往任何时候都多。事实上,OneTrust报告称,到2020年,平均每个人每秒至少创建1.7MB的数据,每天创建的数据超过250万字节。消费者要求更多的个性化,而世界各地的隐私法规意味着个人对其数据拥有比以往更多的权利,而且他们越来越意识到这一点。与此同时,不遵守规定的成本很高,不仅在经济处罚方面,而且在声誉损害方面也是如此。

【欧盟DORA】欧盟:DORA和GDPR之间的相互作用

欧盟委员会发布了一份关于金融部门数字运营弹性监管的提案(“DORA提案”),作为数字金融一揽子计划的一部分,这是一套措施,旨在进一步增强和支持数字金融在创新和竞争方面的潜力,同时降低由此产生的风险。一旦通过,它将直接适用于每个成员国。

在这篇文章中,Dimitrov,Petrov&Co.的合伙人Desislava Krusteva概述了DORA与《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)之间的相互作用。

DORA是什么?

DORA将制定关于支持金融实体业务流程的网络和信息系统安全的统一要求,以实现高水平的数字运营弹性。同时,金融部门将继续处于网络安全横向框架的范围内,如《安全网络和信息系统指令》(欧盟指令2016/1148)(“NIS指令”)。同时,DORA将引入更多特定于行业的网络安全规则。

【泰国PDPA】泰国:PDPA下的权利和执行-第三部分

2019年《个人数据保护法》(“PDPA”)是泰国第一部全面的数据保护立法,最初计划于2020年5月27日生效。然而,由于新冠肺炎大流行而推迟了两轮,PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”),旨在确保对个人数据的保护,并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于PDPA的三部分系列的第一部分和第二部分类似,本文旨在突出PDPA中的关键条款,重点关注PDPA下的个人权利和责任。

数据主体权利

知情权(第21、23和41条)

当根据通知给数据主体的目的收集、使用或披露个人数据时,数据控制者仅需以与之前通知给数据对象的目的不同的方式收集、使用和披露个人数据,其中:

  • 数据主体已被告知此类新目的,并且在收集、使用或披露之前获得同意;或
  • 它符合PDPA或其他法律的规定。

在收集个人数据时,除非数据主体已经知道此类详细信息,否则控制器必须告知数据主体:

订阅