Er zijn zojuist vier bedrijven binnengekomen voorgestelde overeenkomst met de FTC om de beschuldigingen op te lossen dat zij een verkeerde voorstelling van zaken hadden gegeven over hun deelname aan de EU-VS-onderhandelingen. Privacyschild. Deze gevallen weerspiegelen de voortdurende inzet van de FTC om dat kader te handhaven. Twee van de klachten gaan ook over Privacy Shield-verplichtingen waar uw bedrijf mogelijk meer aandacht aan moet besteden.
Privacybescherming is een programma dat bedrijven de mogelijkheid biedt om persoonlijke gegevens van de EU naar de Verenigde Staten over te dragen in overeenstemming met de gegevensbeschermingsvereisten van de EU. Om deel te nemen moeten bedrijven een aanvraag indienen bij het ministerie van Handel en voldoen aan de zelfcertificeringsvereisten van het programma. Eén van de eisen is dat het bedrijf zich ieder jaar opnieuw certificeert om zijn status als bedrijf te behouden Privacybescherming lid. Deelname is vrijwillig, maar als een bedrijf beweert hieraan te hebben voldaan, moet die verklaring – zoals elke objectieve claim – waarheidsgetrouw zijn. Op basis van de handhavingsresultaten van de FTC op dit gebied zou een verkeerde voorstelling van zaken in strijd kunnen zijn met de Federal Trade Commission Act.
Het in Colorado gevestigde IDmission, LLC, dat een cloudgebaseerd platform aan bedrijven verkoopt, beweert dat het “aan het ministerie van Handel heeft verklaard dat het voldoet aan het Privacy Shield-framework.” Het bedrijf is in oktober 2017 met het certificeringsproces begonnen, maar heeft het nog niet afgerond. Volgens de klacht heeft het ministerie van Handel met het bedrijf samengewerkt om implementatieproblemen aan te pakken en het bedrijf gewaarschuwd om eventuele claims van naleving in te trekken totdat het bedrijf de problemen heeft opgelost.
De FTC beschuldigde drie andere bedrijven ervan hun certificeringen te laten vervallen zonder de weergave op hun websites te wijzigen. mResource LLC, zakendoend onder de naam Loop Works, is een rekruterings- en talentmanagementbedrijf in Chicago. Ondanks dat het bedrijf beweert dat het “deelnemer is aan het EU-US Privacy Shield van het Amerikaanse ministerie van Handel”, liep de certificering in december 2017 af.
VenPath, Inc., gevestigd in New York, zei dat het “deelneemt aan en de naleving ervan heeft gecertificeerd met het EU-VS Privacy Shield Framework.” Maar het data-analysebedrijf liet zijn certificering in oktober 2017 vervallen.
Dan is er SmartStart Employment Screening, Inc., een bedrijf voor achtergrondscreening in Florida. Het bedrijf beweert dat het “voldoet aan het EU-VS Privacy Shield Framework zoals uiteengezet door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie uit lidstaten van de Europese Unie.” De SmartStart-certificering liep echter in september 2017 af.
De vier ingediende klachten bevatten allemaal beschuldigingen die vergelijkbaar zijn met andere Privacy Shield-zaken: dat de bedrijven ten onrechte hebben verklaard dat zij momenteel deelnemen aan het EU-VS-Privacy Shield-raamwerk.
Maar de voorgestelde klacht tegen VenPath en SmartStart bevat aanvullende beschuldigingen die het vermelden waard zijn. Wanneer een bedrijf verklaart dat het zal voldoen aan de principes van het EU-VS Privacy Shield-raamwerk, is een van de belangrijkste vereisten dat als het bedrijf later stopt met deelname aan het Privacy Shield, het bedrijf aan het ministerie van Handel moet bevestigen dat het deze principes zal blijven toepassen op de persoonlijke informatie die het ontvangt tijdens de deelname van het bedrijf. In de klacht wordt beweerd dat VenPath en SmartStart niet aan deze doorlopende verplichtingen hebben voldaan. Volgens de FTC is dit de tweede manier waarop de twee bedrijven hun naleving van het Privacy Shield verkeerd hebben voorgesteld.
De voorgestelde schikking herinnert ons eraan dat als het bedrijf dat zegt Privacybescherming deelnemers, moeten zij hun initiële certificering voltooien En follow-up met de vereiste jaarlijkse hercertificering. Bovendien, als een bedrijf ervoor kiest om zich terug te trekken uit het programma – uiteraard is dit vrijwillig – heeft het nog steeds doorlopende verplichtingen met betrekking tot de persoonlijke gegevens die het verzamelt, zolang het zichzelf als deelnemer vertegenwoordigt.
De FTC accepteert tot 29 oktober 2018 commentaar op de voorgestelde schikking.
