Er zijn zojuist vier bedrijven binnengekomen voorgestelde schikkingen met de FTC om de beschuldigingen op te lossen dat zij valse verklaringen hebben afgelegd over hun deelname aan het EU-VS-privacyschild. Deze gevallen weerspiegelen de voortdurende inzet van de FTC om het raamwerk te handhaven. Twee van de klachten gaan ook over de Privacy Shield-vereiste, die mogelijk meer aandacht van uw bedrijf verdient.
Privacyschild is een programma dat bedrijven de mogelijkheid biedt om persoonlijke gegevens van de EU naar de Verenigde Staten over te dragen in overeenstemming met de EU-vereisten op het gebied van gegevensbescherming. Om deel te nemen moeten bedrijven een aanvraag indienen bij het ministerie van Handel en voldoen aan de zelfcertificeringsvereisten van het programma. Eén vereiste is dat bedrijven zich elk jaar opnieuw certificeren om hun status te behouden Privacyschild leden. Deelname is vrijwillig, maar als een bedrijf naleving claimt, moet die verklaring, net als andere objectieve verklaringen, waarheidsgetrouw zijn. Zoals bepaald door het handhavingsregister van de FTC op dit gebied, kunnen valse verklaringen in strijd zijn met de Federal Trade Commission Act.
Het in Colorado gevestigde IDmission, LLC, dat een cloudgebaseerd platform voor bedrijven verkoopt, zei dat het “aan het ministerie van Handel heeft verklaard dat het zich houdt aan het Privacy Shield-framework.” Het bedrijf startte het certificeringsproces in oktober 2017, maar voltooide het niet. Volgens de klacht had het ministerie van Handel met het bedrijf samengewerkt om problemen met de toepassing op te lossen en het bedrijf gewaarschuwd eventuele nalevingsklachten in te trekken totdat het bedrijf de problemen had opgelost.
De FTC zegt dat drie andere bedrijven hun certificeringen hebben laten vervallen zonder de weergaven op hun websites te wijzigen. mResource LLC, zakendoend onder de naam Loop Works, is een rekruterings- en talentmanagementbedrijf in Chicago. Ondanks dat het beweert “deel te nemen aan het EU-US Privacy Shield” van het Amerikaanse ministerie van Handel, liep de certificering ervan in december 2017 af.
Het in New York gevestigde VenPath, Inc. zei dat het “deelneemt aan en de naleving heeft gecertificeerd van het EU-VS Privacy Shield Framework.” Maar het data-analysebedrijf liet zijn certificering in oktober 2017 vervallen.
Dan is er SmartStart Employment Screening, Inc., een bedrijf voor achtergrondscreening in Florida. Het bedrijf zei dat het “voldoet aan het EU-VS Privacy Shield Framework dat is opgesteld door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie uit lidstaten van de Europese Unie.” De certificering van SmartStart liep echter in september 2017 af.
De vier voorgestelde klachten bevatten allemaal een bewering die vergelijkbaar is met andere Privacy Shield-zaken: dat het bedrijf ten onrechte heeft beweerd dat het momenteel deelneemt aan het EU-VS-Privacy Shield-raamwerk.
Maar de voorgestelde klachten tegen VenPath en SmartStart bevatten nog een opmerkelijke bewering. Wanneer een bedrijf verklaart dat het van plan is te voldoen aan de EU-VS Privacy Shield Framework Principles, is een belangrijke vereiste dat als het later stopt met deelname aan het Privacy Shield, het aan het ministerie van Handel moet verklaren dat het de Principles zal blijven toepassen op persoonlijke informatie die wordt ontvangen tijdens de periode waarin het heeft deelgenomen. In de klacht wordt gesteld dat VenPath en SmartStart deze voortdurende verplichting niet zijn nagekomen. Volgens de FTC is dit een tweede manier waarop deze twee bedrijven hun naleving van het Privacy Shield verkeerd hebben voorgesteld.
De voorgestelde overeenkomsten herinneren eraan dat als bedrijven het zeggen, ze dat ook doen Privacyschild deelnemers moeten hun initiële certificering voltooien EN doorgaan met de vereiste jaarlijkse hercertificeringen. Bovendien, als een bedrijf ervoor kiest om zich terug te trekken uit het programma – dit is uiteraard vrijwillig – handhaaft het nog steeds een doorlopende verplichting met betrekking tot de persoonlijke gegevens die zijn verzameld tijdens de periode dat het deelnemer was.
De FTC accepteert tot 29 oktober 2018 commentaar op de voorgestelde schikkingen.
