Nasza odpowiedź na Schrems II
Aktualizowano: 8 sierpnia 2023 r.
CBRE zobowiązuje się do przestrzegania prawa do ochrony danych i prywatności naszych klientów, pracowników i interesariuszy na całym świecie, niezależnie od tego, gdzie prowadzimy działalność. CBRE aktywnie zareagowała na ostatnie zmiany dotyczące transgranicznego przesyłania danych, w tym w Europie i Chinach.
I Europa
Od czasu decyzji "Schrems II" wydanej przez Trybunał Sprawiedliwości Unii Europejskiej w 2020 r. podjęliśmy i nadal podejmujemy uzgodnione kroki w celu spełnienia wymogów dotyczących przekazywania danych wynikających ze zmieniających się przepisów dotyczących ochrony prywatności, w tym:
Chiny
Aby zapewnić zgodność z przepisami dotyczącymi cyberbezpieczeństwa i ochrony danych osobowych, w tym zgodne z prawem przekazywanie chińskich danych poza Chiny, CBRE uzyskało wszystkie odpowiednie certyfikaty Wielopoziomowego Systemu Ochrony CBRE wdrożyło środki dotyczące standardowej umowy o wychodzącym przekazywaniu danych osobowych, przyjmując standardową umowę wydaną przez Chińską Administrację Cyberprzestrzeni (CAC) i przeprowadzając ocenę wpływu na prywatnośćs dla transgranicznego przekazywania danych.
Kryptografia
CBRE stosuje silną technologię kryptograficzną, która jest dostosowana do najnowszych standardów bezpieczeństwa najlepszych praktyk zgodnie z uznanymi na całym świecie organami normalizacyjnymi, unikając algorytmów szyfrowania, o których wiadomo, że mają słabe punkty lub exploity. Posiadamy Globalną Politykę Bezpieczeństwa Informacji wspieraną przez Standard Klasyfikacji Danych i Standardy Kryptografii, które obejmują klasyfikację danych, algorytmy kryptograficzne i wykorzystanie szyfrowania.
Funkcje mieszania: Stosowane funkcje skrótu obejmują SHA‐2 i SHA‐3, ale nie przestarzałe funkcje, takie jak MD5 i SHA-1.
Aby uzyskać więcej informacji na temat podejścia CBRE do transgranicznego przekazywania danych, należy skontaktować się z Globalnym Biurem Ochrony Danych CBRE.
CBRE zobowiązuje się do przestrzegania prawa do ochrony danych i prywatności naszych klientów, pracowników i interesariuszy na całym świecie, niezależnie od tego, gdzie prowadzimy działalność. CBRE aktywnie zareagowała na ostatnie zmiany dotyczące transgranicznego przesyłania danych, w tym w Europie i Chinach.
I Europa
Od czasu decyzji "Schrems II" wydanej przez Trybunał Sprawiedliwości Unii Europejskiej w 2020 r. podjęliśmy i nadal podejmujemy uzgodnione kroki w celu spełnienia wymogów dotyczących przekazywania danych wynikających ze zmieniających się przepisów dotyczących ochrony prywatności, w tym:
- Przeprowadzanie szeregu ocen wpływu na transfer danych do lokalizacji CBRE, w tym do CBRE, Inc. i jej amerykańskich spółek zależnych ("CBRE US"). W ocenie wpływu na transfer danych CBRE US stwierdzono, że (i) takie przekazywanie danych może być kontynuowane zgodnie z prawem, ponieważ nie podlega ujawnieniu amerykańskim organom wywiadowczym na mocy sekcji 702 amerykańskiej ustawy o nadzorze wywiadu zagranicznego (50 U.S.C. §1881a) ("FISA 702") lub rozporządzenia wykonawczego 12333.
- Dekret wykonawczy nr 14086 wydany przez Komisję Europejską, stwierdzający odpowiedni stopień ochrony w odniesieniu do ram ochrony danych osobowych UE-USA znacznie zwiększa ochronę danych i zabezpieczenia prywatności osób fizycznych spoza USA poprzez ustanowienie jasnych i precyzyjnych zasad, a także zasad konieczności i proporcjonalności w odniesieniu do działań wywiadowczych USA. Oraz wdrożenie nowego dwupoziomowego mechanizmu dochodzenia roszczeń, który nawet jeśli CBRE US nie jest (jeszcze) certyfikowana zgodnie z nowymi ramami prywatności danych UE-USA.
- Wdrożenie ram i przeprowadzanie ocen wpływu przekazywania danych poza UE/EOG.
- Dalsze poleganie na standardowych klauzulach umownych UE (po aktualizacji) w celu przesyłaniadanych osobowych z UE/EOG do państw spoza UE/EOG oraz, jeżeli wskazano na to w odpowiedniej ocenie skutków transferu, wdrażanie dodatkowych środków zgodnie z zaleceniami Europejskiej Rady Ochrony Danych (EROD) i innych organów nadzorczych UE.
- Wdrożenie odpowiednich zabezpieczeń w odniesieniu do innych krajów europejskich, które nakładają wymogi dotyczące transferu, takich jak przyjęcie Aneksu brytyjskiego i odzwierciedlenie zmian wymaganych przez prawo szwajcarskie.
- Uzupełnienie Globalnej polityki prywatności danych CBRE o Standard, zgodnie z którym CBRE podejmie między innymi uzasadnione działania prawne w celu zakwestionowania i zawieszenia nakazów ujawnienia przekazanych z nieodpowiednich państw trzecich oraz do udostępnienia wyłącznie danych wymaganych prawem.
- Zwiększenie lokalizacji danych UE/EOG.
Chiny
Aby zapewnić zgodność z przepisami dotyczącymi cyberbezpieczeństwa i ochrony danych osobowych, w tym zgodne z prawem przekazywanie chińskich danych poza Chiny, CBRE uzyskało wszystkie odpowiednie certyfikaty Wielopoziomowego Systemu Ochrony CBRE wdrożyło środki dotyczące standardowej umowy o wychodzącym przekazywaniu danych osobowych, przyjmując standardową umowę wydaną przez Chińską Administrację Cyberprzestrzeni (CAC) i przeprowadzając ocenę wpływu na prywatnośćs dla transgranicznego przekazywania danych.
Kryptografia
CBRE stosuje silną technologię kryptograficzną, która jest dostosowana do najnowszych standardów bezpieczeństwa najlepszych praktyk zgodnie z uznanymi na całym świecie organami normalizacyjnymi, unikając algorytmów szyfrowania, o których wiadomo, że mają słabe punkty lub exploity. Posiadamy Globalną Politykę Bezpieczeństwa Informacji wspieraną przez Standard Klasyfikacji Danych i Standardy Kryptografii, które obejmują klasyfikację danych, algorytmy kryptograficzne i wykorzystanie szyfrowania.
- W tranzycie: CBRE wdraża środki ochrony przed aktywnymi i pasywnymi atakami na systemy nadawcze i odbiorcze zapewniające szyfrowanie transportu, takie jak odpowiednie zapory ogniowe, wzajemne szyfrowanie TLS, uwierzytelnianie API i szyfrowanie w celu ochrony bram i potoków, przez które przesyłane są dane, a także testowanie luk w oprogramowaniu i możliwych backdoorów. Stosujemy skuteczne algorytmy szyfrowania i parametryzację w niezaufanych sieciach z protokołem Transport Layer Security (TLS) 1.2 lub wyższym, SSH 2 (Secure Shell), IPsec (IP Security).
- W spoczynku: CBRE szyfruje również dane magazynowe zgodnie z klasyfikacją danych, stosując skuteczne algorytmy szyfrowania i parametryzacji, w tym algorytmy klucza symetrycznego - Advanced Encryption Standard (AES) i Triple Data Encryption Standard lub algorytmy klucza asymetrycznego - Rivest, Shamir & Adelman (RSA) oraz algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA). CBRE nie zezwala na zapisywanie danych na nośnikach wymiennych. Tam, gdzie takie urządzenie jest wymagane, tymczasowy wyjątek jest zgłaszany i zarządzany przez cały czas jego trwania. Użytkownicy, którzy mają uzasadnioną potrzebę korzystania z pamięci USB, otrzymują w tym celu zaszyfrowany dysk USB.
Funkcje mieszania: Stosowane funkcje skrótu obejmują SHA‐2 i SHA‐3, ale nie przestarzałe funkcje, takie jak MD5 i SHA-1.
Aby uzyskać więcej informacji na temat podejścia CBRE do transgranicznego przekazywania danych, należy skontaktować się z Globalnym Biurem Ochrony Danych CBRE.
Elizabeth Atlee | Shannon Clark |
Dyrektor ds. etyki i zgodności z przepisami | Globalny Dyrektor i Zastępca Głównego Radcy Prawnego – Ochrona Danych i Prywatności |