News

Na de invoering van de EU-richtlijn inzake klokkenluiders in 2021, kregen de functionarissen voor gegevensbescherming van bedrijven de taak om veilige meldingskanalen op te zetten. Aangezien deze systemen voor gegevensbescherming en het melden van misstanden door dezelfde afdeling worden beheerd, is het dan verstandig voor bedrijven om de functies van gegevensbeschermingsfunctionaris en klokkenluidersfunctionaris te combineren? František Nonnemann, compliance- en operationeel risicobegeleider bij PBK Technology, en gecertificeerd privacyprofessional (CIPP/E), legt de overeenkomsten uit tussen gegevensbeschermingsfunctionarissen en klokkenluidersfunctionarissen.

> Following the implementation of the EU Whistleblower Directive in 2021, companies' data protection officers were tasked with setting up secure reporting channels. As these data protection and whistleblowing systems are exercised by the same unit, is it reasonable for companies to combine the DPO and whistleblower roles? PBK Technology Compliance and Operational Risk consultant František Nonnemann, CIPP/E, lays out the commonalities between DPOs and whistleblowing officer

De lidstaten van de Europese Unie hebben een gemeenschappelijk standpunt bereikt over de voorgestelde Dataregelgeving, waardoor de onderhandelingen over de definitieve versie van de voorgestelde wetgeving kunnen beginnen tussen de Raad van de Europese Unie en het Europees Parlement. De Zweedse minister voor Openbare Diensten, Erik Slottner, zei dat de Dataregelgeving "bijdraagt aan het creëren van een interne markt, waardoor gegevens vrij kunnen circuleren binnen de EU en tussen verschillende sectoren, ten bate van bedrijven, onderzoekers, overheidsinstanties en de samenleving."

> Personal data protection and whistleblowing are two different topics — different regulations with different purposes, scope and requirements. But, in fact, they are closer than they seem, especially for practical reasons. Both data protection governance and whistleblowing systems are often exercised by the same unit —  the compliance department — or even by the same person. This solution offers several advantages, but also some problematic points that need to be highligh

> EU member states reached a common position on the proposed Data Act, enabling negotiations on the final version of the proposed legislation to begin among the Council of the European Union and European Parliament. Swedish Minister for Public Administration Erik Slottner said the Data Act "will contribute to creating a single market to allow data to flow freely within the EU and across sectors for the benefit of businesses, researchers, public administrations, and society

De Noorse autoriteit voor gegevensbescherming, het Datatilsynet, heeft het Amerikaanse bedrijf Argon Medical Devices een boete van 2,5 miljoen Noorse kroon opgelegd omdat het niet binnen de wettelijke termijn van 72 uur een datalek uit juli 2021 heeft gemeld, zoals vereist door de Europese Algemene Verordening Gegevensbescherming (AVG). "Deze zaak is een belangrijke herinnering dat gegevensverwerkers – inclusief die gevestigd buiten de (Europese Economische Ruimte) – passende maatregelen moeten treffen om onmiddellijk te kunnen vaststellen of er sprake is van een inbreuk op persoonlijke gegevens."

> Norway's data protection authority, the Datatilsynet, fined U.S.-based Argon Medical Devices 2.5 million kroner for failing to report a July 2021 data breach within the 72-hour deadline required by the EU General Data Protection Regulation. "This case is an important reminder that data controllers — including those established outside the (European Economic Area) — must have suitable measures in place to be able to immediately determine whether a breach of personal data

> Spain’s data protection authority, the Agencia Española de Protección de Datos, published guidance for anonymizing data. The guidance called for a trained professional to handle the anonymization of a personal data set who also has experience in reidentification attacks. Even though “residual probability” of reidentification will always exist, a data controller must apply accountability to the anonymization process “with appropriate measures to ensure compliance taking i

De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft richtlijnen gepubliceerd over het anonimiseren van gegevens. Deze richtlijnen stellen dat een getrainde professional de anonimisering van een dataset met persoonlijke gegevens moet uitvoeren, en dat deze professional ook ervaring moet hebben met pogingen tot heridentificatie. Hoewel er altijd een "resterend risico" bestaat dat gegevens opnieuw geïdentificeerd kunnen worden, moet de verantwoordelijke voor de gegevensverwerking verantwoordelijkheid nemen voor het anonimiseringsproces en "geschikte maatregelen treffen om te zorgen voor naleving, rekening houdend met..."

> Meta plans to change its terms of service and privacy notices for U.K. users, Bloomberg reports. U.K. Facebook, Instagram and WhatsApp users will retain data rights under the U.K. General Data Protection Regulation while the company moves user data out of the EU General Data Protection Regulation's jurisdiction. A Meta spokesperson said the updates, which were planned following the U.K.'s 2020 Brexit agreement, "don't change the way we treat UK users’ data." The move als

Het eerste beroepstribunaal heeft delen van een handhavingsbesluit uit 2020 van het Britse Information Commissioner's Office (ICO) tegen Experian vernietigd. Hierin werd bevestigd dat het bedrijf zich terecht baseert op legitieme belangen als juridische basis voor het verwerken van informatie van kredietreferentiebureaus voor direct marketingdoeleinden. Waarnemend commissaris Stephen Bonner, CIPP/E, CIPM, zei dat marketingprocessen "in overeenstemming met de wet en op een open en eerlijke manier moeten plaatsvinden", en het ICO heeft aangegeven dat het een app zal overwegen.

Meta plant om de gebruiksvoorwaarden en privacyverklaringen voor gebruikers in het Verenigd Koninkrijk te wijzigen, meldt Bloomberg. Gebruikers van Facebook, Instagram en WhatsApp in het Verenigd Koninkrijk behouden hun datarechten onder de Britse Algemene Verordening Gegevensbescherming (AVG), terwijl het bedrijf gebruikersgegevens verplaatst buiten de jurisdictie van de Europese Algemene Verordening Gegevensbescherming (AVG). Een woordvoerder van Meta zei dat de wijzigingen, die gepland waren na het Brexit-akkoord van het Verenigd Koninkrijk in 2020, "de manier waarop we de gegevens van Britse gebruikers behandelen niet veranderen." Deze stap...

> The First-Tier Tribunal overturned portions of a 2020 enforcement notice by the U.K. Information Commissioner's Office against Experian, confirming the company's reliance on legitimate interests as a legal basis for processing credit reference agency information for direct marketing purposes. Deputy Commissioner Stephen Bonner, CIPP/E, CIPM, said marketing processes "must happen in line with the law and in an open and honest way" and the ICO noted it will consider an app

> Spain’s data protection authority, the Agencia Española de Protección de Datos, created a tool designed to help organizations determine whether to notify a data protection regulator following a breach. The tool, “Brecha Advisory,” is free to use. It aims to help data controllers identify who should be notified, what elements in the breach contain personal data and which data protection regulator to report to.

De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft een tool ontwikkeld om organisaties te helpen bepalen of ze een databeschermingsinstantie moeten informeren na een datalek. De tool, "Brecha Advisory", is gratis te gebruiken. Het doel is om dataverwerkers te helpen identificeren wie er op de hoogte moet worden gesteld, welke elementen in het datalek persoonlijke gegevens bevatten en bij welke databeschermingsinstantie het incident moet worden gemeld.

De Digital Services Act is op 27 oktober gepubliceerd in het Publicatieblad van de Europese Unie. De DSA, die de voorwaarden voor de aanbieding van intermediaire diensten harmoniseert en de transparantie-eisen voor online intermediairs verhoogt, treedt op 16 november in werking. In het nieuwste deel van een reeks artikelen biedt het onderzoeksteam van de IAPP professionals op het gebied van privacy een overzicht van de DSA, inclusief de doelstellingen, de belangrijkste vereisten en de handhaving van de wet.

> The Digital Services Act was published in the Official Journal of the European Union Oct. 27. The DSA, which harmonizes conditions for the provision of intermediary services and increases transparency requirements for online intermediaries, will enter into force Nov. 16. In the latest installment of a multipart series, the IAPP Research and Insights team provides privacy professionals with an overview of the DSA, including the law's objectives, key requirements and enforcement.

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

> Legally, until an adequacy determination is granted, companies should continue to follow the European Data Protection Board’s recommendations on measures that supplement transfer tools. But, once the EU is named as a “qualifying state” (assuming it will be) and complaints can be summited, this should become less daunting. The EDPB recommendations state that companies must “assess if there is anything in the law or practice of the third country that may impinge on the effectiveness of the appro

Juridisch gezien moeten bedrijven, totdat een beoordeling van voldoende bescherming is verstrekt, de aanbevelingen van het Europees Comité voor gegevensbescherming (EDPB) blijven volgen met betrekking tot maatregelen die aanvullend zijn op de transferinstrumenten. Echter, zodra de EU wordt aangewezen als een "erkende staat" (uitgaande van het feit dat dit zal gebeuren) en klachten kunnen worden ingediend, zou dit minder complex moeten worden. De aanbevelingen van het EDPB stellen dat bedrijven moeten "onderzoeken of er iets is in de wet- of praktijk van het derde land dat de effectiviteit van de goedkeuring kan beïnvloeden."

> The U.K. Information Commissioner’s Office issued reprimands and practice recommendations for seven public and private entities for failure to respond to subject access requests. The entities included the Ministry of Defence, the Home Office, Kent police and Virgin Media. The ICO found the organizations “repeatedly failed" to meet the deadline to respond to SAR requests of one to three months. For instance, the MoD has a backlog 9,000 SAR requests dating back to March 2020.Full Story

De boete van 405 miljoen euro die de Ierse Autoriteit voor Gegevensbescherming aan Meta heeft opgelegd, markeert een "cruciaal moment" in de handhaving van de Europese Algemene Verordening Gegevensbescherming (AVG), schrijven Anna Morgan en Heather Catchpole, respectievelijk hoofd Privacy en Gegevensbescherming bij Bird & Bird in Ierland. Morgan en Catchpole stellen dat de boete "een belangrijk keerpunt vormt... voor de bescherming van kinderen als gebruikers van digitale diensten." Dit was ook de eerste zaak met betrekking tot grensoverschrijdende gegevensverwerking onder de AVG waarbij de persoonlijke gegevens van kinderen betroffen.

> The Irish Data Protection Commission’s 405 million euro fine against Meta represents a “watershed moment” in EU General Data Protection Regulation enforcement, write Bird & Bird’s Head of Privacy and Data Protection, Ireland, Anna Morgan and Associate Heather Catchpole. Morgan and Catchpole said the penalty represents “a critical staging post … for protecting children as users of digital services.” This was also the first GDPR cross-border data processing case involving children’s personal dat

Het Britse Information Commissioner's Office heeft zeven overheids- en private organisaties berispt en aanbevelingen gedaan over hun werkwijze, vanwege het niet tijdig reageren op verzoeken van burgers om toegang tot hun persoonlijke gegevens. De organisaties omvatten onder meer het Ministerie van Defensie, het Ministerie van Binnenlandse Zaken, de politie van Kent en Virgin Media. De ICO constateerde dat de organisaties "herhaaldelijk" tekortschoten in het halen van de deadline om binnen één tot drie maanden te reageren op deze verzoeken. Zo heeft het Ministerie van Defensie bijvoorbeeld een achterstand van 9.000 verzoeken die al dateren van maart 2020. Volledig artikel.

Het Britse Information Commissioner's Office heeft aangekondigd dat TikTok een boete van 27 miljoen pond zal krijgen vanwege vermeende schendingen van de Britse wetgeving inzake gegevensbescherming. Het onderzoek van de ICO heeft mogelijke overtredingen blootgelegd met betrekking tot de verwerking van gegevens van minderjarigen zonder toestemming, de onrechtmatige verwerking van speciale categorieën van gegevens en een ontoereikend niveau van transparantie.

> The U.K. Information Commissioner's Office announced a notice of intent to fine TikTok 27 million GBP for alleged U.K. data protection violations. The ICO's investigation found potential violations concerning nonconsensual processing of minors' data, unlawful processing of special category data and insufficient transparency.

De Berlijnse Commissaris voor Gegevensbescherming en Vrijheid van Informatie heeft een boete van 525.000 euro opgelegd aan een detailhandelaar gevestigd in Berlijn wegens schending van de eisen met betrekking tot de functionaris gegevensbescherming (FG) zoals vastgelegd in de [AVG]. Een onderzoek wees op een vermeend belangenconflict met betrekking tot de arbeidsstatus en de beslissingsbevoegdheden van de FG, wat in strijd is met artikel 38(6) van de AVG. Het bedrijf ontving in 2021 een waarschuwing van de toezichthouder.

> The Berlin Commissioner for Data Protection and Freedom of Information issued a 525,000 euro fine to a Berlin-based retailer for violation of data protection officer requirements under the \[GDPR]. An investigation found an alleged conflict of interest concerning the DPO's employment status and decision-making responsibilities that violated Article 38(6) of the GDPR. The company received a warning from the regulator in 2021.