Voor bedrijven die ervoor kiezen om deel te nemen, stelt het EU-VS-privacyschild een proces vast waarmee ze consumentengegevens van landen van de Europese Unie naar de Verenigde Staten kunnen overdragen, in overeenstemming met de EU-wetgeving. In ruil daarvoor moeten bedrijven de vereisten van het raamwerk volgen. De FTC heeft voorgestelde schikkingen aangekondigd met bedrijven die beweren deel te nemen en slaagde er toch niet in de stappen te voltooien die nodig waren om certificering te verkrijgen van het ministerie van Handel, dat de Privacy Shield-framework. Een ander geval roept een extra zorg op.
Vier bedrijven – DCR-personeeleen managementsoftwarebedrijf uit Florida; Thru, Inc.een cloudgebaseerde softwareleverancier voor bestandsoverdracht in Californië; LotaDataeen bedrijf uit San Francisco dat de locatiegegevens van mobiele gebruikers analyseert; En TrueFace.aieen in Santa Monica gevestigd bedrijf dat gezichtsherkennings- en identiteitsverificatiediensten aanbiedt – allemaal beweren ze op hun websites te zijn gecertificeerd onder Privacy Shield. Maar volgens de FTC hebben ze aanvragen ingediend, maar hebben ze het certificeringsproces niet afgerond. Dat maakte de verklaringen op hun sites vals, in strijd met de FTC Act.
Een vijfde bedrijf – EmpiriStateen in Maryland gevestigd bedrijf dat ondersteunende diensten levert voor klinische onderzoeken – was ooit gecertificeerd onder Privacy Shield, maar liet de certificering ervan in 2018 vervallen. En toch bleef het bedrijf op zijn site zeggen dat het “aan het ministerie van Handel heeft verklaard dat het zich houdt aan de Privacy Shield-principes.” Bovendien wordt EmpiriStat in de klacht ten onrechte beweerd dat het aan de principes van het Privacy Shield voldeed, terwijl het in feite niet kon verifiëren dat zijn gepubliceerde beleid met betrekking tot informatie ontvangen van de EU accuraat en volledig geïmplementeerd was – iets wat bedrijven volgens het raamwerk jaarlijks moeten doen. De FTC beweert dat het bedrijf zich ook niet heeft gehouden aan de Privacy Shield-vereiste dat bedrijven die deelname aan het raamwerk stopzetten tegenover het ministerie van Handel bevestigen dat ze Privacy Shield-beschermingen zullen blijven toepassen op persoonlijke informatie die is verzameld terwijl ze aan het programma deelnamen..
De voorgestelde schikkingen verbieden in alle vijf gevallen een verkeerde voorstelling van zaken over de mate waarin de bedrijven deelnemen aan een privacy- of gegevensbeveiligingsprogramma dat wordt gesponsord door een overheid of een zelfregulerende of standaardbepalende groep. Het EmpiriStat-bevel vereist ook dat het bedrijf: 1) Privacy Shield-bescherming blijft toepassen op persoonlijke informatie die het heeft verzameld tijdens deelname aan het programma; 2) de gegevens beschermen op een andere manier die door het raamwerk wordt toegestaan; of 3) de informatie retourneren of verwijderen binnen 10 dagen na de bestelling. Zodra de voorgestelde schikkingen in het Federal Register verschijnen, accepteert de FTC gedurende 30 dagen openbare commentarenS.
Welke boodschappen moeten bedrijven halen uit de tientallen Privacy Shield-zaken die de FTC tot nu toe heeft aanhangig gemaakt?
De FTC meent zaken te doen als bedrijven valse verklaringen afleggen over deelname aan het Privacy Shield. De FTC is vastbesloten het verbod op misleidende praktijken van artikel 5 te gebruiken om verkeerde voorstellingen over deelname aan het Privacy Shield aan te vechten. Het programma is vrijwillig, maar als uw bedrijf zegt deel te nemen, moet u aan de eisen voldoen.
Maak af waar je aan begint. Of het nu om uw golfswing gaat of om de Privacy Shield-toepassing van uw bedrijf, het draait allemaal om de follow-up. Beweer niet dat u deelneemt aan het raamwerk voordat u de aanvraag hebt voltooid en bent gecertificeerd door het ministerie van Handel.
Deelname aan het Privacy Shield brengt voortdurende verplichtingen met zich mee. Een belangrijke randvoorwaarde is de jaarlijkse hercertificering. Om ervoor te zorgen dat uw bedrijf aan de goede kant van de wet blijft, kunt u nu een hercertificeringsherinnering in uw agenda zetten. (Ja, nu.) Als u later besluit om niet deel te nemen, wijzig dan onmiddellijk wat u op uw website zegt. Bovendien hebt u doorlopende verantwoordelijkheden met betrekking tot de gegevens die zijn verzameld terwijl u deelnemer was. Slimme bedrijven volgen de Vereisten van het Ministerie van Handel voor het terugtrekken uit het programma.
