Voor bedrijven die ervoor kiezen om deel te nemen, stelt het EU-VS-privacyschild een proces vast waarmee ze consumentengegevens van landen van de Europese Unie naar de Verenigde Staten kunnen overdragen in overeenstemming met de EU-wetgeving. In ruil daarvoor moeten bedrijven de vereisten van het regelgevingskader volgen. De FTC kondigde voorgestelde schikkingen aan met bedrijven die zeiden dat ze zouden deelnemen toch slaagde het er niet in de stappen te voltooien die nodig waren om certificering te verkrijgen van het ministerie van Handel, dat de Privacy Shield-kader. Een ander geval roept nog meer zorgen op.
Vier bedrijven – DCR-personeeleen managementsoftwarebedrijf in Florida; Via, Inc.een cloudgebaseerde softwareleverancier voor bestandsoverdracht in Californië; LotaDataeen bedrijf uit San Francisco dat locatiegegevens van mobiele gebruikers analyseert; EN TrueFace.aieen in Santa Monica gevestigd bedrijf dat gezichtsherkennings- en identiteitsverificatiediensten aanbiedt, die allemaal op hun websites vermelden dat ze gecertificeerd zijn onder het Privacy Shield. Maar volgens de FTC hebben ze aanvragen ingediend, maar hebben ze het certificeringsproces niet voltooid. Hierdoor waren de verklaringen op hun sites vals en in strijd met de FTC-wetgeving.
Een vijfde bedrijf – EmpiriStateen in Maryland gevestigd bedrijf dat ondersteunende diensten voor klinische onderzoeken levert, was ooit gecertificeerd onder het Privacy Shield, maar liet de certificering in 2018 vervallen. Toch bleef het bedrijf op zijn site zeggen dat het “aan het ministerie van Handel heeft verklaard dat het zich houdt aan de Privacy Shield-principes.” Bovendien wordt EmpiriStat er in de klacht van beschuldigd valselijk te beweren de Privacy Shield Principles te hebben nageleefd, terwijl het bedrijf er in feite niet in slaagde te verifiëren dat zijn gepubliceerde beleid met betrekking tot informatie ontvangen van de EU accuraat en volledig geïmplementeerd was – iets wat bedrijven volgens het raamwerk elk jaar moeten doen. De FTC beweert dat het bedrijf niet heeft voldaan aan de Privacy Shield-vereiste dat bedrijven die hun deelname aan het raamwerk stopzetten tegenover het ministerie van Handel bevestigen dat ze Privacy Shield-beschermingen zullen blijven toepassen op persoonlijke informatie die tijdens het programma wordt verzameld..
De voorgestelde overeenkomsten verbieden in alle vijf de gevallen een verkeerde voorstelling van zaken over de mate waarin de bedrijven deelnemen aan gegevensprivacy- of beveiligingsprogramma’s die worden gesponsord door een overheid of een zelfregulerende of standaardbepalende groep. Het EmpiriStat-bevel vereist ook dat het bedrijf: 1) Privacy Shield-bescherming blijft toepassen op persoonlijke informatie die wordt verzameld tijdens deelname aan het programma; 2) de gegevens beschermen met andere middelen die door de wet zijn toegestaan; of 3) uw gegevens retourneren of verwijderen binnen 10 dagen na het plaatsen van uw bestelling. Zodra de voorgestelde schikkingen in het Federal Register verschijnen, accepteert de FTC gedurende 30 dagen openbare commentarenS.
Welke boodschappen moeten bedrijven meenemen uit de tientallen Privacy Shield-zaken die de FTC tot nu toe heeft aangespannen?
De FTC meent zaken te doen als bedrijven valse beweringen doen over deelname aan het Privacy Shield. De FTC heeft zich ertoe verbonden het verbod op misleidende praktijken in artikel 5 te gebruiken om valse beweringen over deelname aan het Privacy Shield aan te vechten. Het programma is vrijwillig, maar als uw bedrijf beweert deel te nemen, moet u aan de vereisten voldoen.
Maak af waar je aan begint. Of het nu gaat om uw golfswing of om de handhaving van het Privacy Shield van uw bedrijf, het draait allemaal om de follow-up. Beweer niet dat u deelneemt aan het raamwerk voordat u de aanvraag hebt voltooid en bent gecertificeerd door het ministerie van Handel.
Deelname aan het Privacy Shield brengt doorlopende verplichtingen met zich mee. Een belangrijke randvoorwaarde is de jaarlijkse hercertificering. Om ervoor te zorgen dat uw bedrijf aan de wet blijft voldoen, kunt u nu een hercertificeringsherinnering in uw agenda zetten. (Ja, nu.) Als u later besluit niet deel te nemen, verander dan onmiddellijk wat u op uw website zegt. Bovendien hebt u doorlopende verantwoordelijkheden met betrekking tot de gegevens die zijn verzameld terwijl u deelnemer was. Ervaren bedrijven volgen de Vereisten van het Ministerie van Handel zich uit het programma terug te trekken.
