Hoe sluit ik mijn bedrijf aan bij het EU-US Privacy Shield?

Op 1 augustus 2016 ll. is de “EU-US Privacy Shield-overeenkomst” die dd. 12 juli 2016 werd aangenomen door de Europese Commissie, in werking getreden.

Het EU-US Privacy Shield werd ontwikkeld door het U.S. Department of Commerce en de Europese Commissie. De bedoeling was een opvolger te voorzien voor het “Safe Harbor-verdrag” en zo de doorgifte van persoonsgegevens tussen Europa en Amerika opnieuw, en beter, te reguleren.

Vrijwillige aansluiting

Sinds 1 augustus 2016 is het aldus mogelijk, voor ondernemingen gevestigd in de U.S., en die daarenboven voldoen aan de vereisten zoals gestipuleerd in de EU-US Privacy Shield-overeenkomst, om zich vrijwillig aan te sluiten bij het Privacy Shield Framework. Ondanks het feit dat duidelijk wordt benadrukt door het U.S. Departement of Commerce dat de aansluiting bij het Privacy Shield Framework vrijwillig is, dient dit toch genuanceerd te worden. Het zal immers enkel mogelijk zijn voor een onderneming gevestigd in Amerika om, legaal, persoonsgegevens komende uit Europa te verwerken wanneer deze zich heeft aangesloten bij het Privacy Shield Framework. De vrijwillige aansluiting dient aldus met een korrel zout genomen te worden. Eens een onderneming de beslissing heeft genomen om zich aan te sluiten bij het framework, is deze ertoe verplicht zich te gedragen conform de principes zoals bepaald in de Privacy Shield-overeenkomst.

Belangrijkste aandachtspunten

Dit zijn de belangrijkste aandachtspunten met zicht op de zelf-certificering van ondernemingen bij Privacy Shield:

  • Jurisdictie: de aansluitende onderneming dient te vallen onder de jurisdictie van de Federal Trade Commission (FTC) of van de Departement of Transportation (DOT).
  • Privacy Policy /Privacy beleid: De aansluitende onderneming dient haar Privacy Policy zo aan te passen opdat deze conform is aan de Privacy Shield principes. Daarenboven dient een verwijzing naar de Privacy Shield website opgenomen te worden (https://www.privacyshield.gov).
  • Klachtenprocedure: Elke onderneming dient voor zichzelf een eigen klachtenprocedure te voorzien met zicht op het ontvangen en onderzoeken van onopgeloste klachten. Deze klachtenprocedure dient gratis te zijn voor de indiener.
  • Verificatiemechanisme: Elke onderneming dient een eigen procedure te voorzien om na te gaan of de onderneming zich gedraagt conform de Privacy Shield principes. De onderneming kan beslissen dit zelf intern te organiseren, maar kan hiervoor ook beroep doen op een derde partij die toezicht houdt.
  • Contactpersoon: Elke onderneming dient een contactpersoon te voorzien binnen de onderneming zelf. Deze dient het eerste aanspreekpunt te zijn voor alle inkomende vragen en/of klachten omtrent Privacy en (doorgifte van) persoonsgegevens. Iedere vraag of klacht dient binnen de 45 dagen beantwoord te zijn.

Vanuit het principe “transparantie troef” kan op de website van Privacy Shield een lijst worden teruggevonden “de Privacy Shield list” (https://www.privacyshield.gov/list) , waar men iedere gecertificeerde onderneming, op alfabetische volgorde, kan terugvinden. Daarenboven voorziet de lijst ook volgende gegevens: HR- en non HR-data van het bedrijf, eventuele andere entiteiten die onder de inschrijving ressorteren, Privacy Policy, klachtenprocedure, verificatiemechanisme en contactgegevens. De lijst wordt bijgehouden en onderhouden door het U.S. Departement of Commerce.

Eens aangesloten altijd aangesloten?

Net zoals de beslissing om zich aan te sluiten vrij is, kan iedere onderneming ook steeds beslissen om zich terug te trekken van de lijst.  Hiervoor dient de onderneming contact op te nemen met het Privacy Shield team van het U.S. Departement of Commerce en dient deze aan te geven vanaf wanneer deze de terugtrekking exact wenst te laten ingaan.

De onderneming wordt bijgevolg van de Privacy Shield lijst verwijderd en wordt opgenomen in de lijst van ondernemingen die zelf hebben besloten om zich terug te trekken van de Privacy Shield lijst. De onderneming kan niet meer genieten van de voordelen vervat in de “European Commission’s adequacy decision” met betrekking tot het ontvangen van persoonsgegevens komende uit Europa. Daarenboven dient de terugtrekkende onderneming de nodige waarborgen te bieden met betrekking tot de persoonsgegevens komende uit Europa verkregen tijdens de deelname aan Privacy Shield, en dit voor zolang de onderneming de gegevens bijhoudt. Indien de onderneming de Privacy Shield principes in het geheel niet meer wenst te eerbiedigen zal deze de voormelde verkregen informatie moeten teruggeven aan de gerechtigde en/of definitief verwijderen uit haar database.

Waar aansluiten?

Voor aansluiting bij het Privacy Shield Framework kan u terecht op: https://www.privacyshield.gov

Vragen over privacy, het privacy shield of de Algemene Verordening Gegevensbescherming?

Contacteer ons op info@siriuslegal.be of via het contactformulier op onze website.

Auteur: Thaïssa Nuyens