Voor bedrijven die ervoor kiezen om deel te nemen, stelt het EU-VS-privacyschild een proces vast waarmee ze consumentengegevens van landen van de Europese Unie naar de Verenigde Staten kunnen overdragen in overeenstemming met de EU-wetgeving. In ruil daarvoor moeten bedrijven de vereisten van het raamwerk volgen. De FTC heeft voorgestelde schikkingen aangekondigd met bedrijven die hebben toegegeven deel te nemen maar slaagde er niet in de noodzakelijke stappen te voltooien om certificering te verkrijgen van het ministerie van Handel, dat de certificering beheert Privacy Shield-kader. Andere gevallen roepen extra zorgen op.
Vier bedrijven – DCR-personeeleen managementsoftwarebedrijf in Florida; Via, Inc.cloudgebaseerde softwareleverancier voor bestandsoverdracht in Californië; Lota-gegevenseen bedrijf in San Francisco dat de locatiegegevens van mobiele gebruikers analyseert; En TrueFace.aieen in Santa Monica gevestigd bedrijf dat gezichtsherkennings- en identiteitsverificatiediensten aanbiedt – die allemaal op hun website beweren te zijn gecertificeerd onder het Privacy Shield. Maar volgens de FTC hebben ze de aanvraag ingediend, maar hebben ze het certificeringsproces niet voltooid. Dit zorgt ervoor dat de verklaringen op hun site vals zijn en in strijd met de FTC Act.
Vijfde bedrijf – Keizerlijke statistiekeneen in Maryland gevestigd bedrijf dat ondersteunende diensten levert voor klinische onderzoeken – was ooit gecertificeerd onder het Privacy Shield, maar liet de certificering in 2018 vervallen. Maar het bedrijf blijft op zijn website zeggen dat het “aan het ministerie van Handel heeft verklaard dat het zich houdt aan de Privacy Shield Principles.” Bovendien wordt in de klacht beweerd dat EmpiriStat ten onrechte beweerde dat het zich aan de principes van het Privacy Shield hield, terwijl het in feite niet kon verifiëren dat zijn gepubliceerde beleid met betrekking tot informatie ontvangen van de EU accuraat en volledig geïmplementeerd was – iets wat bedrijven volgens het raamwerk jaarlijks moeten doen. De FTC beweert dat de bedrijven ook niet hebben voldaan aan de vereisten van het Privacy Shield, waarin staat dat bedrijven die stoppen met deelname aan het raamwerk tegenover het ministerie van Handel bevestigen dat ze Privacy Shield-beschermingen zullen blijven toepassen op persoonlijke informatie die wordt verzameld terwijl ze aan het programma deelnemen..
De voorgestelde schikkingen in de vijf zaken verbieden een verkeerde voorstelling van zaken over de mate waarin bedrijven deelnemen aan gegevensprivacy- of beveiligingsprogramma’s die worden gesponsord door overheden of zelfregulerende of standaardbepalende groepen. Het EmpiriStat-bevel vereist ook dat bedrijven: 1) Privacy Shield-bescherming blijven toepassen op persoonlijke informatie die wordt verzameld tijdens deelname aan het programma; 2) gegevens beschermen op andere manieren die door het raamwerk zijn toegestaan; of 3) informatie retourneren of verwijderen binnen 10 dagen na bestelling. Zodra de voorgestelde schikking in het Federal Register verschijnt, accepteert de FTC gedurende 30 dagen openbare commentarenS.
Welke boodschap moeten bedrijven halen uit de tientallen Privacy Shield-zaken die de FTC tot nu toe heeft ingediend?
Onder de FTC wordt een bedrijf verstaan wanneer een bedrijf valse verklaringen aflegt over deelname aan het Privacy Shield. De FTC heeft zich ertoe verbonden het verbod op misleidende praktijken van artikel 5 te gebruiken om onjuiste voorstellingen van deelname aan het Privacy Shield aan te vechten. Dit programma is vrijwillig, maar als uw bedrijf zegt deel te nemen, moet u aan de eisen voldoen.
Maak af waar je aan begint. Of het nu om uw golfswing gaat of om de Privacy Protection-app van uw bedrijf, alles volgt. Beweer niet dat u aan dit raamwerk deelneemt voordat u de aanvraag hebt voltooid en bent gecertificeerd door het ministerie van Handel.
Deelname aan het Privacy Shield brengt doorlopende verplichtingen met zich mee. Een belangrijke randvoorwaarde is de jaarlijkse hercertificering. Om ervoor te zorgen dat uw bedrijf aan de wet blijft voldoen, kunt u nu een hercertificeringsherinnering in uw agenda zetten. (Ja, nu.) Als u later besluit om niet deel te nemen, verander dan onmiddellijk wat u op uw website zegt. Bovendien hebt u doorlopende verantwoordelijkheden met betrekking tot de gegevens die zijn verzameld terwijl u deelnemer was. Slimme bedrijven volgen dit voorbeeld Vereisten van het Ministerie van Handel zich uit het programma terug te trekken.
