En revision af Australiens fire store banker udført af Office of the Australian Information Commissioner (OAIC) har fundet ud af, at de har håndteret forbrugerdata under Consumer Data Right (CDR) på en åben og gennemsigtig måde og har demonstreret god privatlivspraksis, da det fandt ikke nogen områder med høj privatlivsrisiko.
Som en del af den første CDR-privatlivsvurdering undersøgte OAIC, som er co-regulator for CDR, ANZ, Commonwealth Bank, National Australia Bank og Westpac, da de var oprindelige CDR-dataindehavere.
Hver bank blev evalueret i henhold til deres overholdelse af privatlivsbeskyttelse 1, som kræver, at udbydere har en CDR-politik, der beskriver, hvordan de administrerer forbrugerdata og implementerer intern praksis, procedurer, og systemer til at sikre overholdelse.
Der er 13 juridisk bindende beskyttelse af privatlivets fred under CDR, der fastlægger forbrugernes privatlivsrettigheder og udbyderes forpligtelser, når de indsamler og håndterer deres data. Privatlivsbeskyttelse 1 betragtes, som OAIC udtrykker det, den grundlæggende beskyttelse af privatlivets fred, der understøtter overholdelse af alle de andre beskyttelsesforanstaltninger.
“Vores privatlivsvurdering viste, at de fire store banker generelt overholder grundstenen Consumer Data Right privacy protection,” sagde den australske informationskommissær og privatlivskommissær Angelene Falk.
Ifølge vurderingen har alle banker god privatlivspraksis. på plads, da de hver især udviklede en CDR-politik, der skitserede, hvordan de administrerede CDR-data og deres behandling af forbrugerklager.
Det fandt også ud af, at bankerne tog skridt til at etablere og fremme en kultur, der respekterer privatlivets fred og god informationshåndteringspraksis, når de administrerer CDR-data.
“Alle banker havde udpeget ledende medarbejdere med ansvar for strategisk ledelse af CDR-regimet og embedsmænd med ansvar for den daglige forvaltning af CDR-data,” sagde OAIC-revisionen.
“Tre banker demonstrerede god privatlivspraksis i begrænsning af adgang til CDR-systemer og data til personale med et operationelt krav om at have adgang.
“Bankerne udviste generelt god praksis ved at fastlægge praksis, procedurer og systemer til at gennemgå deres CDR-politikker på et planlagt grundlag, samt følge lovgivningsmæssige og operationelle ændringer. De brugte eksisterende dokumentkontrolrammer, og specifikke medarbejdere var ansvarlige for at gennemgå deres CDR-politik. “
Samtidig afdækkede revisionen områder, der kunne forbedres. For hver bank identificerede OAIC mindst én mellemstor privatlivsrisiko. En bank havde fire mellemstore privatlivsrisici, to banker havde tre, og en bank havde en. Størstedelen af mellemstore privatlivsrisici var relateret til den måde, bankerne har implementeret intern praksis, procedurer og systemer for at sikre overholdelse af deres CDR-forpligtelser.
På baggrund af disse resultater anbefalede OAIC, hvad hver enkelt bank kunne gøre for at imødegå de mellemstore privatlivsrisici, såsom udvikling af intern praksis, procedurer og systemer, der specifikt adresserer overholdelse af beskyttelsesforanstaltninger for privatlivets fred, der afviger fra eller er yderligere forpligtelser til, Australske privatlivsprincipper. Alle banker accepterede OAIC's anbefalinger.
“Vores anbefalinger og forslag vil hjælpe disse dataindehavere og andre udbydere i systemet med yderligere at integrere, gennemgå og forbedre deres privatlivspraksis, så forbrugere kan fortsætte med at bruge forbrugerdataretten med tillid,” sagde Falk.
< p>Da færdiggørelsen af vurderingen blev afsluttet, skrev OAIC til bankerne og redegjorde for sin forventning om, at de reagerer med en plan for implementering af anbefalingerne. OAIC vil besøge hver bank igen om seks måneder for at sikre, at alle anbefalingerne er fuldt implementeret.
“Forbrugerdataretten har en stærk lovgivningsramme til at beskytte forbrugernes privatliv og opbygge tillid til systemet,” sagde Falk.
“Vi reviderer og overvåger proaktivt udbydere i systemet for at sikre disse strenge beskyttelsesforanstaltninger for privatlivets fred. bliver opretholdt, så forbrugerne kan føle sig sikre på, at deres data er beskyttet.
Australiens CDR blev officielt lanceret den 1. juli med den første tranche, et åbent banksystem, der kræver, at udbydere af finansielle tjenester deler kundernes data efter anmodning fra kunden.
I henhold til CDR kan individuelle kunder i de fire store banker anmode om, at deres bank deler deres “live” data for indbetalings- og transaktionskonti og kredit- og debetkort med akkrediterede datamodtagere.
Tidligere denne måned, ændringer til CDR blev lavet, så det kunne udvides til energisektoren.
I henhold til ændringerne vil energiproduktinformation fra oktober 2022 blive delt, så forbrugerne bedre kan sammenligne energiplaner, og fra november 2022 vil energiforbrugere kunne give samtykke til at dele deres data om deres eget energiforbrug og forbindelse med en sammenligningstjeneste eller fintech app.
“Med øget forbrugermobilitet vil energidetailhandlere blive tilskyndet til at forbedre skræddersyede tjenester og skabe bedre forbrugeroplevelser for at fastholde deres kunder. Jeg er spændt på at se denne udvidelse af CDR på tværs af økonomien med telekommunikation som den næste sektor under overvejelse,” sagde Jane Hume, minister for Superannuation, Financial Services and the Digital Economy.
Relateret dækning
Opdaterede CDR-regler, der giver akkrediterede deltagere mulighed for at udpege repræsentanter for Commonwealth Bank-kunder for at se saldi fra andre banker in-appAustraliens forbrugerdata er lige nu opdateret til at inkludere formidlereACCC siger, at store banker trækker CDR-ressourcer som følge af COVID-19
Reviderede regler for forbrugerdatarettigheder udvider samtykke og giver forretningspartnere adgangACCC og OAIC lover at sætte forbrugerne på center for CDR-håndhævelseNAB beder om ikke at blive stillet ringere ved at åbne CDR op for nye spillere Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre