Fingerprint Scanning on Blue Technology
General

Das Illinois Biometric Information Privacy Act („BIPA“): Wann werden Unternehmen die Warnschilder beachten?

Scannen von Fingerabdrücken auf Blue TechnologyDas Illinois Biometric Information Privacy Act („BIPA“) trat 2008 in Kraft und ist seitdem eine ständige Quelle von Rechtsstreitigkeiten. In diesem Beitrag werden die Verpflichtungen, die die BIPA auferlegt, der aktuelle Stand der BIPA-Rechtsstreitigkeiten und die Schritte zusammengefasst, die Unternehmen zur Reduzierung der Prozessrisiken unternehmen können.

Was ist BIPA?

Die erklärte Absicht der BIPA war es, das erhöhte Risiko eines Identitätsdiebstahls im Zusammenhang mit der Verarbeitung biometrischer Daten anzugehen. Die Ergebnisse des Gesetzgebers besagen, dass “Im Gegensatz zu anderen eindeutigen Kennungen, die für den Zugriff auf Finanzen oder andere vertrauliche Informationen verwendet werden.” wenn biologisch eindeutige Daten kompromittiert werden, “Der Einzelne hat keinen Rückgriff” weil die Person diese Bezeichner nicht ändern kann.

Umfang: Die BIPA regelt, wie „private Einrichtungen“ „biometrische Informationen“ und „biometrische Kennungen“ (zusammen „biometrische Daten“) sammeln, verwenden und weitergeben, und stellt bestimmte Sicherheitsanforderungen.

  • EIN “Private Einheit” ist eine Einzelperson, eine Personengesellschaft, eine Gesellschaft, eine Gesellschaft mit beschränkter Haftung, ein Verein oder eine andere Gruppe, wie auch immer organisiert.
  • “Biometrische Informationen” bedeutet alle Information, “Unabhängig davon, wie es erfasst, konvertiert, gespeichert oder freigegeben wird” basierend auf der biometrischen Kennung einer Person, die zur Identifizierung einer Person verwendet wird. Biometrische Informationen umfassen keine Informationen, die aus Elementen oder Verfahren stammen, die unter der Definition der „biometrischen Kennung“ ausgeschlossen sind.
  • “Biometrische Kennung” bezeichnet einen Retina- oder Iris-Scan, einen Fingerabdruck, einen Stimmabdruck oder einen Scan der Hand- oder Gesichtsgeometrie. Das Gesetz schließt bestimmte Datenelemente ausdrücklich von der Definition der “biometrischen Kennung” aus (z. B. Schreiben von Proben, Fotos, Tätowierungsbeschreibungen, Informationen, die im Gesundheitswesen oder unter HIPAA usw. erfasst wurden).

Ausschlüsse: BIPA schließt bestimmte Arten von Unternehmen aus, einschließlich Finanzinstituten, die dem Gramm-Leach-Bliley-Gesetz von 1999 unterliegen, Regierungsstellen und -agenturen sowie Auftragnehmer von Regierungsstellen oder -agenturen.

Pflichten: BIPA legt fünf verschiedene Verpflichtungen fest:

(1) Schriftliche Aufbewahrungs- und Vernichtungspolitik: Private Einrichtungen, die im Besitz biometrischer Daten sind, müssen eine schriftliche Richtlinie (der Öffentlichkeit zugänglich gemacht) entwickeln, in der ein Aufbewahrungsplan und Richtlinien für die dauerhafte Vernichtung biometrischer Daten festgelegt sind.

(2) Schriftliche Freigabe: Die BIPA verbietet privaten Unternehmen, ohne schriftliche Einwilligung biometrische Daten zu erhalten.

(3) Profitverbot (auch mit Zustimmung): Das BIPA verbietet privaten Unternehmen, die im Besitz biometrischer Daten sind, biometrische Daten zu verkaufen, zu leasen, zu handeln oder anderweitig davon zu profitieren.

(4) Offenlegungsbeschränkungen: Private Unternehmen, die im Besitz biometrischer Daten sind, dürfen diese nicht „offenlegen, weitergeben oder auf andere Weise verbreiten“, es sei denn, die Zustimmung wird eingeholt oder die Offenlegung ist für bestimmte Zwecke erforderlich (z. B. ist die Offenlegung erforderlich, um eine Finanztransaktion abzuschließen, die gesetzlich vorgeschrieben ist oder gemäß diesen Bestimmungen zu einem gültigen Haftbefehl oder einer Vorladung).

(5) Sicherheitsanforderungen: Ein privates Unternehmen, das im Besitz biometrischer Daten ist, muss angemessene Sorgfaltsstandards anwenden, die für die Branche des Unternehmens gelten, und zwar auf ähnliche, wenn nicht sogar schützendere Weise, wie es das Unternehmen für andere vertrauliche und sensible Informationen verwendet (definiert durch Bezugnahme auf eine Liste von Elementen) Dazu gehören unter anderem Sozialversicherungsnummern, Passcodes und Kontonummern.

Durchsetzung: Der auffälligste Aspekt von BIPA ist, dass es a enthält privates Klagerecht Dies ermöglicht es jeder geschädigten Person, „für jeden Verstoß“ pauschalierten Schadenersatz in Höhe von 1.000 USD oder tatsächlichen Schadenersatz (je nachdem, welcher Betrag höher ist) für fahrlässige Verstöße und pauschalierten Schadenersatz in Höhe von 5.000 USD oder tatsächlichen Schadenersatz (je nachdem, welcher Betrag höher ist) für vorsätzliche oder rücksichtslose Verstöße zu erstatten. Die Kläger können auch angemessene Anwaltsgebühren und -kosten (einschließlich Gebühren für Sachverständige und andere Prozesskosten) zurückfordern und andere verfügbare Erleichterungen (einschließlich einstweiliger Verfügung) beantragen. Wie im nächsten Abschnitt erläutert, hat dies zu ständigen Rechtsstreitigkeiten geführt, die zu erheblichen Auszahlungen geführt haben.

BIPA-Rechtsstreitigkeiten: Der Stand der Dinge

In einem früheren Posthaben wir die Entscheidung des Obersten Gerichtshofs von Illinois in Rosenbach v. Sechs Flaggen im Januar 2019 mit dem Schluss, dass a Der Verbraucher muss keine nachteiligen Auswirkungen oder spezifischen Schäden nachweisen (z. B. Beweise dafür, dass personenbezogene Daten gestohlen oder missbraucht wurden), um unter BIPA klagen zu können. Mit anderen Worten, ein Verfahrensverstoß gegen das Gesetz selbst reicht aus, um ein privates Klagerecht nach BIPA zu unterstützen. Diese Entscheidung hat den über 200 BIPA-Beschwerden, die zu diesem Zeitpunkt bereits in Illinois eingereicht wurden, echte Zähne verliehen.

Während es möglicherweise weniger schwierig ist, sich seit Januar 2019 vor dem Gericht des Staates Illinois zu behaupten, könnten die Kläger immer noch mit ständigen Fragen nach Artikel III vor Bundesgerichten zu kämpfen haben. Im Dezember 2018 wurde das US-Bezirksgericht für den nördlichen Bezirk von Illinois in Rivera v. Google erteilte Google ein zusammenfassendes Urteil und wies die Ansprüche der Kläger wegen mangelnder sachlicher Zuständigkeit zurück, da festgestellt wurde, dass die Kläger die nach Artikel III geltende Klageerhebung nicht erfüllt hatten. Sehen Sie unsere vorherigen Post diesen Fall diskutieren.

Vor staatlichen Gerichten eingereichte Fälle haben zu erheblichen Siedlungen geführt, von denen einige weit in die Hunderttausende hineinreichen. Die jüngste Ankündigung von Facebook, eine große Einigung zur Beilegung von BIPA-Rechtsstreitigkeiten im nördlichen Distrikt von Kalifornien zu erzielen, wird wahrscheinlich zu einer Zunahme von BIPA-Rechtsstreitigkeiten führen. Die Kläger in dieser Klage haben den neunten Berufungskreis davon überzeugt „Verstöße gegen die BIPA-Verfahren schaden tatsächlich oder stellen ein wesentliches Schadensrisiko dar“ so dass sie Artikel III Ansehen verleihen. Patel gegen Facebook, Inc.932 F.3d 1264, 1275 (9th Cir. 2019). Gemäß Die Washington PostNachdem sich der Oberste Gerichtshof geweigert hatte, die Entscheidung des Neunten Kreises zu überprüfen, stimmte Facebook zu, den Fall für eine erhebliche Summe zu lösen. Dieser Vergleich soll dem Gericht am 12. März 2020 zur vorläufigen Genehmigung vorgelegt werden.

Was können Sie tun, um eine BIPA-Exposition zu vermeiden?

Es gibt einen anhaltenden Trend zur Regulierung biometrischer Daten, und Probleme im Zusammenhang mit ihrer Verarbeitung werden wahrscheinlich weiterhin zu Rechtsstreitigkeiten führen. Alle Unternehmen sollten bewerten, ob sie biometrische Daten (z. B. Fingerabdrücke, Gesichts-Scans, Stimmabdrücke) erfassen und bewerten, ob BIPA für sie gilt. Wenn BIPA angewendet wird, sollte das Unternehmen Schritte unternehmen, um das Gesetz so schnell wie möglich einzuhalten, einschließlich Benachrichtigung, Einholung einer schriftlichen Zustimmung und Einhaltung der Aufbewahrungs-, Offenlegungs- und Sicherheitsanforderungen von BIPA.

Wenn Ihr Unternehmen Unterstützung bei der Entscheidung benötigt, ob BIPA angewendet wird oder welche Schritte zur Einhaltung erforderlich sind, wenden Sie sich bitte an eines der folgenden Mitglieder unseres Teams für Datenschutz und Cybersicherheit:

Lydia de la Torre, Of Counsel, Palo Alto, CA.

Elliot Golding, Partner, Washington, D.C

Indien Scarver, Assoziieren, Columbus, OH

Leave a Reply

Your email address will not be published. Required fields are marked *