Naše reakce na Schrems II

Aktualizovaný: 8. srpna 2023

Společnost CBRE je odhodlána dodržovat práva na ochranu osobních údajů a soukromí našich klientů, zaměstnanců a zainteresovaných stran po celém světě, ať podnikáme kdekoli. CBRE proaktivně reagovala na nedávné změny týkající se přeshraničních přenosů dat, včetně těch v Europe a v Číně.

AEvropa

Od rozhodnutí Soudního dvora Evropské unie "Schrems II" v roce 2020 jsme podnikli a nadále podnikáme společné kroky k řešení požadavků na předávání údajů podle měnících se právních předpisů o ochraně osobních údajů, včetně:

  • Provádění řady posouzení dopadů přenosu pro přenos dat do lokalit společnosti CBRE, včetně společnosti CBRE, Inc. a jejích dceřiných společností v USA ("CBRE US"). Posouzení dopadu transferu pro společnost CBRE US dospělo k závěru, že (i) takové předávání může zákonně pokračovat, protože nepodléhá zveřejnění zpravodajským orgánům USA podle zákona USA o zahraničním zpravodajském dohledu, oddíl 702 (50 U.S.C. § 1881a) ("FISA 702") nebo výkonného nařízení 12333.
  • Výkonný příkaz 14086, jak jej schválila komise EU ve svém rozhodnutí o přiměřenosti pro rámec EU-US Data Privacy Framework , výrazně zvýšil ochranu údajů a záruky soukromí pro osoby mimo USA tím, že stanovil jasné a přesných pravidel, jakož i zásad nezbytnosti a proporcionality pro zpravodajské činnosti USA a nového dvoustupňového mechanismu nápravy, který apply i v případě, že CBRE US není (zatím) certifikována podle nového rámce ochrany osobních údajů mezi EU a USA. Zavedení rámce pro provádění a provádění posouzení dopadů přenosu údajů mimo EU/EHP.
  • Nadále se spoléhat na standardní doložky EU (v aktualizovaném znění) při předávání osobních údajů z EU/EHP do zemí mimo EU/EHP a v případě, že to vyplývá z příslušného posouzení dopadu na předávání, provádění doplňkových opatření podle doporučení Evropského sboru pro ochranu osobních údajů (EDPB) a dalších orgánů dohledu EU.
  • Zavedení vhodných záruk ve vztahu k jiným evropským zemím, které ukládají požadavky na převod, jako je přijetí dodatku pro Spojené království a zohlednění změn vyžadovaných švýcarským právem.
  • Doplnění globálních zásad ochrany osobních údajů společnosti CBRE o "standard pro zveřejňování příkazů v neadekvátních jurisdikcích", podle kterého společnost CBRE kromě jiných opatření podnikne veškeré přiměřené právní kroky k napadení a pozastavení příkazů ke zveřejnění z nevhodných třetích zemí a poskytne pouze minimum údajů nezbytných pro zákonné vyhovění požadavkům.
  • Zvýšení lokalizace dat EU/EHP.

Čína

Aby bylo zajištěno dodržování zákonů o kybernetické bezpečnosti a ochraně osobních údajů, včetně zákonného přenosu čínských údajů mimo Čínu, získala společnost CBRE všechny příslušné certifikace systému víceúrovňové ochrany a implementovala opatření pro standardní smlouvu o odchozím přenosu osobních údajů přijetím standardní smlouvy vydané čínskou správou kyberprostoru (CAC) a provedením posouzení dopadu na soukromí pro přeshraniční předávání údajů.

Kryptografie

CBRE využívá silnou kryptografickou technologii, která je v souladu s nejnovějšími bezpečnostními standardy Best Practice v souladu s mezinárodně uznávanými standardizačními orgány, čímž se vyhýbá šifrovacím algoritmům, o nichž je známo, že mají slabiny nebo exploity. Máme globální zásady zabezpečení informací podporované standardem klasifikace dat a kryptografickými standardy, které pokrývají klasifikaci dat, kryptografické algoritmy a použití šifrování.

  • Při přepravě: CBRE implementuje ochranná opatření proti aktivním a pasivním útokům na odesílající a přijímací systémy poskytující šifrování přenosu, jako jsou adekvátní firewally, vzájemné TLS šifrování, API autentizace a šifrování pro ochranu bran a kanálů, kterými data putují, stejně jako testování zranitelností softwaru a možných zadních vrátek. Používáme efektivní šifrovací algoritmy a parametrizaci nad nedůvěryhodnými sítěmi s protokolem Transport Layer Security (TLS) 1.2 nebo vyšším, SSH 2 (Secure Shell), IPsec (IP Security).
  • V klidu: CBRE také šifruje uložená data odpovídající klasifikaci dat pomocí efektivních šifrovacích algoritmů a parametrizace, včetně Symmetric Key Algorithms - Advanced Encryption Standard (AES) a Triple Data Encryption Standard nebo Asymmetric Key Algorithms - Rivest, Shamir & Adelman (RSA) a Elliptic Curve Digital Signature Algorithm (ECDSA). CBRE obecně neumožňuje zápis dat na vyměnitelná média. Je-li takové zařízení vyžadováno, je udělena dočasná výjimka, která je spravována po celou dobu jeho trvání. Uživatelé, kteří mají oprávněnou potřebu používat úložiště USB, jsou pro tento účel vybaveni šifrovanou jednotkou USB.

Hašovací funkce: Mezi používané hašovací funkce patří SHA‐2 a SHA‐3, ale ne zastaralé funkce, jako jsou MD5 a SHA-1.

Pro další informace o přístupu společnosti CBRE k přeshraničnímu přenosu dat kontaktujte globální kancelář pro ochranu osobních údajů společnosti CBRE.

Elizabeth Atlee

, ředitelka pro etiku a dodržování předpisů

Shannon Clark

Globální ředitel a zástupce hlavního právního zástupce – Ochrana osobních údajů a soukromí