Vier bedrijven zijn zojuist toegetreden voorgestelde overeenkomsten met de FTC om de beschuldigingen te schikken dat zij een verkeerde voorstelling van zaken hadden gegeven over hun deelname aan het EU-VS-privacyschild. Deze zaken weerspiegelen de voortdurende inzet van de FTC om het raamwerk te handhaven. Twee van de klachten gaan ook over een Privacy Shield-verplichting die wellicht meer aandacht van uw bedrijf waard is.
Privacyschild is een programma dat bedrijven een manier biedt om persoonlijke gegevens van de EU naar de Verenigde Staten over te dragen, in overeenstemming met de EU-vereisten op het gebied van gegevensbescherming. Om deel te nemen moeten bedrijven een aanvraag indienen bij het ministerie van Handel en voldoen aan de zelfcertificeringsvereisten van het programma. Eén vereiste is dat bedrijven zich elk jaar opnieuw certificeren om hun status als te behouden Privacyschild leden. Deelname is vrijwillig, maar als een bedrijf zegt dat het aan de regels voldoet, moet die vertegenwoordiging – net als andere objectieve claims – waarheidsgetrouw zijn. Zoals uit de staat van dienst van de FTC op het gebied van wetshandhaving op dit gebied blijkt, kunnen onjuiste voorstellingen in strijd zijn met de Federal Trade Commission Act.
Het in Colorado gevestigde IDmission, LLC, dat een cloudgebaseerd platform voor bedrijven verkoopt, beweerde dat het “aan het ministerie van Handel had verklaard dat het zich houdt aan het Privacy Shield-framework.” Het bedrijf startte het certificeringsproces in oktober 2017, maar rondde het niet af. Volgens de klacht had het ministerie van Handel met het bedrijf samengewerkt om problemen met de aanvraag aan te pakken en het bedrijf gewaarschuwd eventuele claims over naleving in te trekken totdat het bedrijf de problemen had opgelost.
De FTC beweert dat drie andere bedrijven hun certificeringen hebben laten vervallen zonder de verklaringen op hun websites te wijzigen. mResource LLC, dat zaken doet onder de naam Loop Works, is een rekruterings- en talentmanagementbedrijf in Chicago. Ondanks dat het claimt dat het “een deelnemer is aan het EU-US Privacy Shield van het Amerikaanse ministerie van Handel”, liep de certificering ervan in december 2017 af.
Het in New York gevestigde VenPath, Inc. zei dat het “deelneemt aan en de naleving ervan heeft gecertificeerd met het EU-VS Privacy Shield Framework.” Maar het data-analysebedrijf liet in oktober 2017 zijn certificering vervallen.
Dan is er SmartStart Employment Screening, Inc., een bedrijf voor achtergrondscreening in Florida. Het bedrijf beweerde dat het “voldoet aan het EU-VS Privacy Shield Framework zoals uiteengezet door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie uit lidstaten van de Europese Unie.” De certificering van SmartStart liep echter in september 2017 af.
De vier voorgestelde klachten bevatten allemaal een bewering die vergelijkbaar is met andere Privacy Shield-zaken: dat het bedrijf ten onrechte heeft beweerd dat het momenteel deelneemt aan het EU-VS-Privacy Shield-raamwerk.
Maar de voorgestelde klachten tegen VenPath en SmartStart bevatten nog een opmerkelijke beschuldiging. Wanneer een bedrijf beweert dat het zich zal houden aan de beginselen van het EU-VS-privacyschild, is een belangrijke vereiste dat als het op een later tijdstip stopt met deelname aan het privacyschild, het aan het ministerie van Handel moet bevestigen dat het de principes zal blijven toepassen op persoonlijke informatie die het heeft ontvangen gedurende de tijd dat het heeft deelgenomen. In de klacht wordt gesteld dat VenPath en SmartStart niet aan die voortdurende verplichting hebben voldaan. Volgens de FTC is dat een tweede manier waarop deze twee bedrijven hun naleving van het Privacy Shield verkeerd hebben voorgesteld.
De voorgestelde schikkingen herinneren eraan dat als bedrijven beweren dat ze dat ook zijn Privacyschild deelnemers, moeten zij hun initiële certificering voltooien En Volg de vereiste jaarlijkse hercertificeringen. Bovendien, als een bedrijf ervoor kiest om zich terug te trekken uit het programma – het is uiteraard vrijwillig – handhaaft het niettemin een voortdurende verplichting met betrekking tot de persoonlijke gegevens die het heeft verzameld gedurende de tijd dat het zichzelf als deelnemer vertegenwoordigde.
De FTC accepteert tot 29 oktober 2018 opmerkingen over de voorgestelde schikkingen.
