Fem fall ger tips för att hålla ditt företag Privacy Shield-kompatibelt

För företag som väljer att delta, etablerar EU-US Privacy Shield-ramverket en process som gör det möjligt för dem att överföra konsumentdata från EU-länder till USA i enlighet med EU-lagstiftningen. I gengäld måste företag följa ramverkets krav. FTC har aviserat föreslagna uppgörelser med företag som påstått sig delta och ändå misslyckades med att slutföra de nödvändiga stegen för att få certifiering från handelsdepartementet, som administrerar Privacy Shield-ramverket. Ett annat fall väcker ytterligare oro.

Fyra företag – DCR arbetsstyrkaett företag för programvara för hantering av Florida; Genom, Inc.en molnbaserad mjukvaruleverantör för filöverföring i Kalifornien; LotaData, ett företag i San Francisco som analyserar mobilanvändares platsinformation; och TrueFace.ai, ett Santa Monica-baserat företag som erbjuder tjänster för ansiktsigenkänning och identitetsverifiering – alla hävdade på sina webbplatser vara certifierade under Privacy Shield. Men enligt FTC skickade de in ansökningar, men avslutade inte certifieringsprocessen. Det gjorde uttalandena på deras webbplatser falska, i strid med FTC-lagen.

Ett femte företag – EmpiriStat, ett Maryland-baserat företag som tillhandahåller supporttjänster för kliniska prövningar – certifierades en gång under Privacy Shield, men lät dess certifiering upphöra 2018. Och ändå fortsatte företaget att säga på sin webbplats att det “har certifierat till Department of Commerce att den följer Privacy Shield-principerna.” Dessutom anklagas klagomålet för att EmpiriStat felaktigt hävdade att det överensstämde med Privacy Shield-principerna när det i själva verket misslyckades med att verifiera att dess publicerade policy angående information som mottagits från EU var korrekt och fullständigt implementerad – något som ramverket kräver att företag gör årligen . FTC hävdar att företaget också underlåtit att följa Privacy Shield-kravet att företag som slutar delta i ramverket bekräftar till Department of Commerce att de kommer att fortsätta att tillämpa Privacy Shield-skydd på personlig information som samlats in medan de var i programmet.

Föreslagna uppgörelser i alla fem fallen förbjuder vilseledande uppgifter om i vilken utsträckning företagen deltar i något integritets- eller datasäkerhetsprogram som sponsras av en regering eller någon självreglerande eller standardiserad grupp. EmpiriStat-ordern kräver också att företaget: 1) fortsätter att tillämpa Privacy Shield-skydd på personlig information som det samlat in när de deltog i programmet; 2) skydda uppgifterna på annat sätt som tillåts av ramverket; eller 3) returnera eller radera informationen inom 10 dagar efter beställningen. När de föreslagna uppgörelserna visas i det federala registret kommer FTC att acceptera offentliga kommentarer i 30 dagars.

Vilka budskap bör företag ta från de dussintals Privacy Shield-ärenden som FTC hittills har tagit fram?

FTC betyder allvar när företag gör falska uttalanden om Privacy Shield-deltagande. FTC har åtagit sig att använda avsnitt 5:s förbud mot bedrägliga metoder för att ifrågasätta felaktiga framställningar om Privacy Shield-deltagande. Programmet är frivilligt, men om ditt företag säger sig delta måste du leva upp till dess krav.

Avsluta det du börjar. Oavsett om det är din golfsving eller ditt företags Privacy Shield-applikation, är allt i uppföljningen. Gör inte anspråk på att delta i ramverket förrän du har fyllt i ansökan och har certifierats av Department of Commerce.

Privacy Shield-deltagande kommer med fortsatta skyldigheter. Ett viktigt ramkrav är årlig omcertifiering. För att hålla ditt företag på rätt sida av lagen, lägg in en påminnelse om omcertifiering i din kalender nu. (Ja, nu.) Dessutom, om du vid ett senare tillfälle bestämmer dig för att inte delta, ändra omedelbart vad du säger på din webbplats. Dessutom har du löpande ansvar gällande data som samlats in medan du var deltagare. Kunniga företag följer Handelsdepartementets krav för att dra sig ur programmet.

Leave a Comment

Your email address will not be published.