Nasza odpowiedź na Schrems II

Aktualizowano: 8 sierpnia 2023 r.

CBRE zobowiązuje się do przestrzegania prawa do ochrony danych i prywatności naszych klientów, pracowników i interesariuszy na całym świecie, niezależnie od tego, gdzie prowadzimy działalność. CBRE aktywnie zareagowała na ostatnie zmiany dotyczące transgranicznego przesyłania danych, w tym w Europie i Chinach. 

I Europa

Od czasu decyzji "Schrems II" wydanej przez Trybunał Sprawiedliwości Unii Europejskiej w 2020 r. podjęliśmy i nadal podejmujemy uzgodnione kroki w celu spełnienia wymogów dotyczących przekazywania danych wynikających ze zmieniających się  przepisów dotyczących ochrony prywatności, w tym: 

  • Przeprowadzanie szeregu ocen wpływu na transfer danych do lokalizacji CBRE, w tym do CBRE, Inc. i jej amerykańskich spółek zależnych ("CBRE US"). W ocenie wpływu na transfer danych CBRE US stwierdzono, że (i) takie przekazywanie danych może być kontynuowane zgodnie z prawem, ponieważ  nie podlega ujawnieniu amerykańskim organom wywiadowczym na mocy sekcji 702 amerykańskiej ustawy o nadzorze wywiadu zagranicznego (50 U.S.C. §1881a) ("FISA 702") lub rozporządzenia wykonawczego 12333. 
  • Dekret wykonawczy nr 14086 wydany przez Komisję Europejską, stwierdzający odpowiedni stopień ochrony w odniesieniu do ram ochrony danych osobowych UE-USA znacznie zwiększa  ochronę danych i zabezpieczenia prywatności osób fizycznych spoza USA poprzez ustanowienie jasnych i precyzyjnych zasad, a także zasad konieczności i proporcjonalności w odniesieniu do działań wywiadowczych USA. Oraz wdrożenie  nowego dwupoziomowego mechanizmu dochodzenia roszczeń, który nawet jeśli CBRE US nie jest (jeszcze) certyfikowana zgodnie z nowymi ramami prywatności danych UE-USA.
  • Wdrożenie ram i przeprowadzanie ocen wpływu przekazywania danych poza UE/EOG.
  • Dalsze poleganie na standardowych klauzulach umownych UE (po aktualizacji) w celu przesyłaniadanych osobowych z UE/EOG do państw spoza UE/EOG oraz, jeżeli wskazano na to w odpowiedniej ocenie skutków transferu,  wdrażanie dodatkowych środków zgodnie z zaleceniami Europejskiej Rady Ochrony Danych (EROD) i innych organów nadzorczych UE.
  • Wdrożenie odpowiednich zabezpieczeń w odniesieniu do innych krajów europejskich, które nakładają wymogi dotyczące transferu, takich jak przyjęcie Aneksu brytyjskiego i odzwierciedlenie zmian wymaganych przez prawo szwajcarskie.
  • Uzupełnienie Globalnej polityki prywatności danych CBRE o Standard, zgodnie z którym CBRE podejmie między innymi uzasadnione działania prawne w celu zakwestionowania i zawieszenia nakazów ujawnienia przekazanych z nieodpowiednich państw trzecich oraz do udostępnienia wyłącznie danych   wymaganych prawem. 
  • Zwiększenie lokalizacji danych UE/EOG.

Chiny

Aby zapewnić zgodność z przepisami dotyczącymi cyberbezpieczeństwa i ochrony danych osobowych, w tym zgodne z prawem przekazywanie chińskich danych poza Chiny,  CBRE uzyskało wszystkie odpowiednie certyfikaty Wielopoziomowego Systemu Ochrony  CBRE wdrożyło środki dotyczące standardowej umowy o wychodzącym przekazywaniu danych osobowych,  przyjmując standardową umowę wydaną przez Chińską Administrację Cyberprzestrzeni (CAC) i przeprowadzając ocenę wpływu na prywatnośćs dla transgranicznego przekazywania danych.

Kryptografia 

CBRE stosuje silną technologię kryptograficzną, która jest dostosowana do najnowszych standardów bezpieczeństwa najlepszych praktyk zgodnie z uznanymi na całym świecie organami normalizacyjnymi, unikając algorytmów szyfrowania, o których wiadomo, że mają słabe punkty lub exploity. Posiadamy Globalną Politykę Bezpieczeństwa Informacji wspieraną przez Standard Klasyfikacji Danych i Standardy Kryptografii, które obejmują klasyfikację danych, algorytmy kryptograficzne i wykorzystanie szyfrowania. 

  • W tranzycie:  CBRE wdraża środki ochrony przed aktywnymi i pasywnymi atakami na systemy nadawcze i odbiorcze zapewniające szyfrowanie transportu, takie jak odpowiednie zapory ogniowe, wzajemne szyfrowanie TLS, uwierzytelnianie API i szyfrowanie w celu ochrony bram i potoków, przez które przesyłane są dane, a także testowanie luk w oprogramowaniu i możliwych backdoorów. Stosujemy skuteczne algorytmy szyfrowania i parametryzację w niezaufanych sieciach z protokołem Transport Layer Security (TLS) 1.2 lub wyższym, SSH 2 (Secure Shell), IPsec (IP Security).
  • W spoczynku: CBRE szyfruje również dane magazynowe zgodnie z klasyfikacją danych, stosując skuteczne algorytmy szyfrowania i parametryzacji, w tym algorytmy klucza symetrycznego - Advanced Encryption Standard (AES) i Triple Data Encryption Standard lub algorytmy klucza asymetrycznego - Rivest, Shamir & Adelman (RSA) oraz algorytm podpisu cyfrowego krzywej eliptycznej (ECDSA). CBRE nie zezwala na zapisywanie danych na nośnikach wymiennych. Tam, gdzie takie urządzenie jest wymagane, tymczasowy wyjątek jest zgłaszany i zarządzany przez cały czas jego trwania. Użytkownicy, którzy mają uzasadnioną potrzebę korzystania z pamięci USB, otrzymują w tym celu zaszyfrowany dysk USB.

Funkcje mieszania: Stosowane funkcje skrótu obejmują SHA‐2 i SHA‐3, ale nie przestarzałe funkcje, takie jak MD5 i SHA-1.
Aby uzyskać więcej informacji na temat podejścia CBRE do transgranicznego przekazywania danych, należy skontaktować się z Globalnym Biurem Ochrony Danych CBRE.


 Elizabeth Atlee  Shannon Clark
 Dyrektor ds. etyki i zgodności z przepisami  Globalny Dyrektor i Zastępca Głównego Radcy Prawnego – Ochrona Danych i Prywatności