Vier bedrijven hebben zich zojuist aangemeld voorgestelde overeenkomsten met de FTC om beschuldigingen op te lossen dat zij hun deelname aan het EU-VS-privacyschild verkeerd hebben voorgesteld. Deze gevallen weerspiegelen de voortdurende inzet van de FTC om het raamwerk te handhaven. Twee van de klachten gaan ook over een Privacy Shield-verplichting die wellicht meer aandacht van uw bedrijf waard is.
Privacyschild is een programma dat bedrijven een manier biedt om persoonlijke gegevens van de EU naar de VS over te dragen in overeenstemming met de EU-vereisten voor gegevensbescherming. Om deel te nemen moeten bedrijven een aanvraag indienen bij het Ministerie van Handel en voldoen aan de zelfcertificeringsvereisten van het programma. Een vereiste is dat bedrijven zich elk jaar opnieuw certificeren om hun status als te behouden Privacyschild leden. Deelname is vrijwillig, maar als een bedrijf zegt dat het hieraan voldoet, moet die vertegenwoordiging – net als andere objectieve claims – waarheidsgetrouw zijn. Zoals uit de handhavingsgegevens van de FTC op dit gebied blijkt, kunnen onjuiste voorstellingen in strijd zijn met de Federal Trade Commission Act.
Het in Colorado gevestigde IDmission, LLC, dat een cloudgebaseerd platform aan bedrijven verkoopt, beweerde dat het “aan het ministerie van Handel had verklaard dat het voldoet aan het Privacy Shield Framework.” Het bedrijf startte het certificeringsproces in oktober 2017, maar rondde het niet af. Volgens de klacht had het ministerie van Handel met het bedrijf samengewerkt om problemen met de toepassing op te lossen en het bedrijf gewaarschuwd om eventuele nalevingsvereisten te schrappen totdat het bedrijf de problemen had opgelost.
De FTC beweert dat drie andere bedrijven hun certificeringen hebben laten vervallen zonder de weergaven op hun websites te wijzigen. mResource LLC, zakendoend onder de naam Loop Works, is een wervings- en talentmanagementbedrijf in Chicago. Ondanks dat het beweert dat het “deelnemer is aan het EU-US Privacy Shield van het Amerikaanse ministerie van Handel”, liep de certificering ervan in december 2017 af.
Het in New York gevestigde VenPath, Inc. zei dat het “deelneemt aan en de naleving heeft gecertificeerd van het EU-VS Privacy Shield Framework.” Maar het data-analysebedrijf liet zijn certificering in oktober 2017 aflopen.
Dan is er SmartStart Employment Screening, Inc., een bedrijf voor achtergrondscreening in Florida. Het bedrijf beweerde dat het “voldoet aan het EU-VS Privacy Shield Framework zoals opgesteld door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie uit EU-lidstaten.” De certificering van SmartStart liep echter in september 2017 af.
De vier voorgestelde klachten bevatten allemaal een bewering die vergelijkbaar is met andere Privacy Shield-zaken: dat het bedrijf ten onrechte heeft beweerd dat het momenteel deelneemt aan het EU-VS-Privacy Shield-raamwerk.
Maar de voorgestelde klachten tegen VenPath en SmartStart omvatten een aanvullende claim van belang. Wanneer een bedrijf beweert dat het zal voldoen aan de EU-VS Privacy Shield Framework Principles, is een belangrijke vereiste dat als het later stopt met deelname aan het Privacy Shield, het aan het ministerie van Handel moet bevestigen dat het de Principles zal blijven toepassen op persoonlijke informatie die het heeft ontvangen tijdens de periode dat het heeft deelgenomen. In de klacht wordt gesteld dat VenPath en SmartStart niet aan deze voortdurende verplichting hebben voldaan. Volgens de FTC is dit een andere manier waarop de twee bedrijven hun naleving van het Privacy Shield verkeerd hebben voorgesteld.
De voorgestelde schikkingen herinneren eraan dat als bedrijven beweren dat ze dat ook zijn Privacyschild deelnemers, moeten zij hun eerste certificering voltooien En follow-up met de vereiste jaarlijkse hercertificeringen. Bovendien, als een bedrijf ervoor kiest om zich terug te trekken uit het programma – het is uiteraard vrijwillig – handhaaft het niettemin een voortdurende verplichting met betrekking tot de persoonlijke gegevens die het heeft verzameld gedurende de tijd dat het zichzelf als deelnemer vertegenwoordigde.
De FTC accepteert tot 29 oktober 2018 commentaar op de voorgestelde schikkingen.
