En revisjon av Australias fire store banker av Office of the Australian Information Commissioner (OAIC) har funnet ut at de har håndtert forbrukerdata under Consumer Data Right (CDR) på en åpen og gjennomsiktig måte, og har vist god personvernpraksis ettersom det fant ingen områder med høy personvernrisiko.
Som en del av den første CDR-personvernvurderingen undersøkte OAIC, som er en medregulator for CDR, ANZ, Commonwealth Bank, National Australia Bank og Westpac som de var opprinnelige CDR-datainnehavere.
Hver bank ble evaluert i henhold til deres overholdelse av personvernbeskyttelse 1, som krever at leverandører har en CDR-policy som beskriver hvordan de administrerer forbrukerdata og implementerer intern praksis, prosedyrer, og systemer for å sikre samsvar.
Det er 13 juridisk bindende personverntiltak under CDR som angir forbrukernes personvernrettigheter og leverandørers forpliktelser når de samler inn og håndterer dataene deres. Personvernsikring 1 anses, som OAIC uttrykker det, grunnfjellet personvernsikring som underbygger overholdelse av alle andre personverntiltak.
“Vår personvernvurdering fant at de fire store bankene generelt overholder grunngrunnlaget Consumer Data Right personvernvern,” sa den australske informasjonskommissæren og personvernkommissæren Angelene Falk.
Ifølge vurderingen har alle banker god personvernpraksis på plass, da de hver utviklet en CDR-policy som skisserte hvordan de administrerte CDR-data og deres behandling av forbrukerklager.
Det fant også at bankene tok skritt for å etablere og fremme en kultur som respekterer personvern og god informasjonshåndteringspraksis når de administrerer CDR-data.
“Alle banker hadde utnevnt seniormedarbeidere som er ansvarlige for strategisk ledelse av CDR-regimet og offiserer som er ansvarlige for daglig forvaltning av CDR-data,” sa OAIC-revisjonen.
“Tre banker viste god personvernpraksis i begrense tilgang til CDR-systemer og data til ansatte med et driftskrav for å ha tilgang.
“Bankene viste generelt god praksis ved å fastsette praksis, prosedyrer og systemer for å gjennomgå deres CDR-policyer på en planlagt basis, samt følge lov- og operasjonsendringer. De brukte eksisterende dokumentkontrollrammeverk og spesifikke ansatte var ansvarlige for å gjennomgå deres CDR-policy. «
Samtidig avdekket tilsynet forbedringsområder. For hver bank identifiserte OAIC minst én middels personvernrisiko. Én bank hadde fire middels personvernrisiko, to banker hadde tre, og én bank hadde én. De fleste middels personvernrisikoer var relatert til måten bankene har implementert intern praksis, prosedyrer og systemer for å sikre overholdelse av deres CDR-forpliktelser.
På bakgrunn av disse funnene anbefalte OAIC hva hver enkelt bank kunne gjøre for å håndtere middels personvernrisiko, for eksempel å utvikle interne praksiser, prosedyrer og systemer som spesifikt tar for seg overholdelse av personverntiltak som avviker fra, eller er tilleggsforpliktelser til, Australske personvernprinsipper. Alle bankene godtok OAICs anbefalinger.
“Våre anbefalinger og forslag vil hjelpe disse datainnehaverne og andre leverandører i systemet med å bygge inn, gjennomgå og forbedre deres personvernpraksis ytterligere, slik at forbrukere kan fortsette å bruke forbrukerdatarettighetene med tillit,” sa Falk.
< p>Når vurderingen ble avsluttet, skrev OAIC til bankene og beskrev at de forventer at de svarer med en plan for implementering av anbefalingene. OAIC vil besøke hver bank på nytt om seks måneder for å sikre at alle anbefalingene er fullt implementert.
“Forbrukerdatarettigheten har et sterkt regulatorisk rammeverk for å beskytte forbrukernes personvern og bygge tillit til systemet,” sa Falk.
“Vi reviderer og overvåker proaktivt leverandører i systemet for å sikre disse strenge personverntiltakene. blir opprettholdt, slik at forbrukere kan føle seg trygge på at dataene deres er beskyttet.
Australias CDR ble offisielt lansert 1. juli, med den første transjen, et åpent bankregime, som krever at leverandører av finanstjenester skal dele sine kunders data når kunden ber om det.
Under CDR kan individuelle kunder i de fire store bankene be om at banken deres deler sine “live” data for innskudds- og transaksjonskontoer og kreditt- og debetkort med akkrediterte datamottakere.
Tidligere denne måneden ble det gjort endringer i CDR ble laget slik at den kunne utvides til energisektoren.
I henhold til endringene, fra oktober 2022, vil energiproduktinformasjon deles slik at forbrukere bedre kan sammenligne energiplaner, og fra november 2022 vil energiforbrukere kunne gi samtykke til å dele dataene sine om egen energibruk og forbindelse med en sammenligningstjeneste eller fintech-appen.
“Med økt forbrukermobilitet vil energiforhandlere bli oppmuntret til å forbedre skreddersøm av tjenester og skape bedre forbrukeropplevelser for å beholde kundene sine. Jeg er spent på å se denne utvidelsen av CDR over hele økonomien, med telekommunikasjon som neste sektor under vurdering,” sa Jane Hume, minister for Superannuation, Financial Services and the Digital Economy.
Relatert dekning
Oppdaterte CDR-regler for å tillate akkrediterte deltakere å utnevne representanter for Commonwealth Bank-kunder for å se saldo fra andre banker i appen, Australias forbrukerdata er akkurat nå oppdatert for å inkludere mellommennACCC sier at store banker trekker CDR-ressurser som et resultat av COVID-19
Reviderte regler for forbrukerdatarett utvider samtykke og gir forretningspartnere tilgangACCC og OAIC lover å sette forbrukerne på senter for CDR-enforcementNAB ber om å ikke bli forfordelt ved å åpne CDR for nye spillere Australia | Sikkerhets-TV | Databehandling | CXO | Datasentre