Voor bedrijven die ervoor kiezen om deel te nemen, stelt het EU-VS-privacyschild een proces vast waarmee ze consumentengegevens van EU-landen naar de VS kunnen overdragen in overeenstemming met de EU-wetgeving. In ruil daarvoor moeten bedrijven de vereisten van het raamwerk volgen. De FTC heeft voorgestelde schikkingen aangekondigd met bedrijven die beweren deel te nemen en slaagde er toch niet in de noodzakelijke stappen te voltooien om certificering te verkrijgen van het ministerie van Handel, dat het beheer voert Privacy Shield-kader. Een ander geval geeft aanleiding tot verdere bezorgdheid.
Vier bedrijven – DCR-personeeleen managementsoftwarebedrijf in Florida; Thru, Inc.een cloudgebaseerde softwareleverancier voor bestandsoverdracht in Californië; LotaDataeen bedrijf uit San Francisco dat de locatiegegevens van mobiele gebruikers analyseert; En TrueFace.aieen in Santa Monica gevestigd bedrijf dat gezichtsherkenning en identiteitsverificatie aanbiedt – allemaal beweren ze op hun websites gecertificeerd te zijn onder het Privacy Shield. Volgens de FTC hebben ze echter aanvragen ingediend, maar hebben ze het certificeringsproces niet voltooid. Dat maakte de getuigenissen op hun websites vals, in strijd met de FTC-wet.
Een vijfde bedrijf – EmpiriStateen in Maryland gevestigd bedrijf dat ondersteunende diensten voor klinische onderzoeken levert, was ooit gecertificeerd onder het Privacy Shield, maar liet de certificering in 2018 aflopen. En toch bleef het bedrijf op zijn website zeggen dat het “aan het ministerie van Handel heeft verklaard dat het voldoet aan de principes van het Privacy Shield.” Bovendien wordt in de klacht beweerd dat EmpiriStat ten onrechte beweerde dat het de Privacy Shield-beginselen naleefde, terwijl het in feite niet kon verifiëren dat zijn gepubliceerde beleid met betrekking tot informatie ontvangen van de EU accuraat en volledig geïmplementeerd was – iets wat het raamwerk van bedrijven verlangt jaarlijks te doen. De FTC beweert dat het bedrijf ook niet heeft voldaan aan de Privacy Shield-vereiste dat bedrijven die stoppen met deelname aan het raamwerk aan het ministerie van Handel verklaren dat ze Privacy Shield-beschermingen zullen blijven toepassen op persoonlijke informatie die tijdens het programma wordt verzameld..
De voorgestelde schikkingen verbieden in alle vijf gevallen een verkeerde voorstelling van zaken van de mate waarin de bedrijven deelnemen aan een privacy- of gegevensbeveiligingsprogramma dat wordt gesponsord door een overheid, een zelfregulerende groep of een groep die standaarden vaststelt. Het EmpiriStat-bevel vereist ook dat het bedrijf: 1) Privacy Shield-bescherming blijft toepassen op persoonlijke informatie die het heeft verzameld tijdens deelname aan het programma; 2) de gegevens beschermen op elke andere manier die door het raamwerk wordt toegestaan; of 3) de informatie retourneren of verwijderen binnen 10 dagen na de bestelling. Zodra de voorgestelde schikkingen in het Federal Register verschijnen, accepteert de FTC gedurende 30 dagen openbare commentarenP.
Welke boodschappen moeten bedrijven halen uit de tientallen Privacy Shield-zaken die de FTC tot nu toe heeft aangespannen?
De FTC neemt het serieus als bedrijven valse beweringen doen over deelname aan het Privacy Shield. De FTC is vastbesloten om het verbod van Sectie 5 op misleidende praktijken te gebruiken om verkeerde voorstellingen over deelname aan het Privacy Shield aan te vechten. De training is vrijwillig, maar als uw bedrijf zegt deel te nemen, moet u aan de eisen voldoen.
Maak af waar je aan begint. Of het nu om uw golfswing gaat of om de Privacy Shield-toepassing van uw bedrijf, het zit allemaal in de follow-up. Beweer niet dat u deelneemt aan het raamwerk voordat u de aanvraag hebt voltooid en bent gecertificeerd door het Ministerie van Handel.
Deelname aan het Privacy Shield brengt doorlopende verplichtingen met zich mee. Een belangrijke randvoorwaarde is de jaarlijkse hercertificering. Om ervoor te zorgen dat uw bedrijf aan de goede kant van de wet blijft, kunt u nu een hercertificeringsherinnering in uw agenda zetten. (Ja, nu.) Als u later besluit niet deel te nemen, moet u onmiddellijk wijzigen wat u op uw website zegt. Bovendien bent u voortdurend verantwoordelijk voor de gegevens die zijn verzameld terwijl u deelnemer was. Ervaren bedrijven volgen De eisen van het Ministerie van Handel zich uit het programma terug te trekken.
