5 základních principů poctivé informační praxe
Množství online aktivit neustále roste, zejména s expanzí Internet věcí (IoT) . Neustále jsme bombardováni žádostmi o data. Počet podvodné weby , phishingová schémata a případy identifikovat krádež je neustále na vzestupu. Je důležitější než kdy jindy dbát na bezpečnost vašich informací. Navíc přesně vědět, kdo má vaše osobní údaje a jak je používá, je zásadním aspektem vašeho práva na soukromí.
Ať už předáváte svou e-mailovou adresu nebo provádění online plateb , chcete mít naprostou jistotu, kam vaše informace směřují a jak budou použity. Seznámení se s principy poctivých informačních postupů vám tedy pomůže činit správná rozhodnutí při procházení offline i online prostředí. S vaší extra důvtipností budete také moci nahlásit ty entity, které nedodržují osvědčené postupy, aby pomohly vytvořit bezpečnější prostředí pro všechny uživatele.
V tomto příspěvku se stručně podíváme na pokyny, které byly vytvořeny v souvislosti se spravedlivými informačními postupy. Poté se ponoříme do pěti základních principů a do toho, co pro vás jako spotřebitele znamenají.
Nějaké pozadí těchto principů
Když mluvíme o informačních postupech, máme na mysli to, jak různé subjekty shromažďují a používají vaše osobní údaje. Když mluvíme o tom, že tyto praktiky jsou spravedlivé, musíme se podívat na to, jak zajistit, aby byla zavedena pravidla upravující informační postupy a poskytovala spotřebitelům dostatečnou ochranu soukromí.
Prostředí se neustále mění a v průběhu let se na téma poctivých informačních praktik objevily různé zprávy. Byly také zavedeny pokyny ve snaze vytvořit normy, které by podniky měly dodržovat. V posledních letech mnoho zemí vyvinulo konkrétnější politiky týkající se ochrany údajů. V různých zprávách a pokynech se objevují určité základní principy.
Ty byly poprvé uvedeny před více než deseti lety ve zprávě Federální obchodní komise (FTC) „Zásady spravedlivé informační praxe“, která byla od té doby vyřazena. I když to bylo založeno na dnes již zastaralých zprávách a pokynech, základní sdělení v rámci zásad zůstávají patrná v aktualizovanějších směrnicích, včetně:
- Obecné nařízení o ochraně osobních údajů (GDPR): To bylo vyvinuté EU nahradit Směrnice o ochraně údajů a bude vymahatelná od května 2018.
- Zákon o ochraně osobních údajů a elektronických dokumentech (PIPEDA): Toto platí v Kanadě a zahrnuje pokyny uvedené v Digital Privacy Act a Kód modelu CSA .
- Směrnice OECD o ochraně osobních údajů (původně publikováno v roce 1980, ale aktualizováno v roce 2013): Organizace pro hospodářskou spolupráci a rozvoj (OECD) stanoví mezinárodní standardy pro různé věci, včetně soukromí.
Mějte na paměti, že ne všechny tyto dokumenty obsahují explicitně všechny níže uvedené zásady. Navíc většina, ne-li všechny, obsahuje další hloubkové pokyny. Pokud se na to díváte z obchodního hlediska nebo jste spotřebitelem, který hledá podrobnější informace, můžete si příslušný dokument prohlédnout přímo. Mohlo by vás také zajímat vedle sebe srovnání zásad ochrany osobních údajů některé z největších internetových společností.
Můžete si všimnout absence amerického dokumentu ve výše uvedeném seznamu. V současné době neexistuje v USA žádná plošná legislativa na ochranu osobních údajů. Existují však určité akty, které se týkají poctivých informačních postupů, jako je např Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a Zákon o poctivých a přesných úvěrových transakcích (FACTA). Navíc mnoho zákonů upravujících informační praktiky v USA je zavedeno na státní úrovni.
Ještě poslední poznámka, než se ponoříme do principů, je, že některé z těchto pokynů jsou založeny na předpokladu, že spotřebitel bude mít nezbytný úsudek, aby se rozhodl, zda své informace předá či nikoli. Pokud však jde o děti, existuje velká šance, že nebudou mít stejné analytické schopnosti a úsudek. V tomto případě musí být zásady upraveny tak, aby bylo zajištěno, že rodiče jsou náležitě vybaveni k ochraně informací svých dětí. Těmito upravenými principy se budeme zabývat v nadcházejícím příspěvku.
5 základních principů poctivých informačních postupů
Nyní, když víme trochu více o tom, odkud tyto zásady vzešly, podívejme se na klíčové body, které pokrývají, pokud jde o práva spotřebitelů.
1. Spotřebitelé by měli být upozorněni
Upozornění se týká skutečnosti, že osoba poskytující informace musí být přesně informována o tom, komu jsou informace určeny a k čemu budou použity. Označuje se také jako transparentnost a je to nanejvýš důležité, aby byl spotřebitel dobře vybaven k tomu, aby se mohl rozhodnout, zda informace předá, a také jaké informace chce sdělit.
Některé z věcí, které by účetní jednotka měla podle potřeby pokrýt, jsou:
- Kdo shromažďuje informace
- K čemu bude sloužit
- Kdo by mohl potenciálně přijímat data
- Jaké informace budou shromažďovány a jak
- Zda je poskytnutí údajů volitelné
- Jak sběratel zajistí důvěrnost, kvalitu a integritu informací
- Jestli a kdy budou informace zlikvidovány
Pokud poskytovatel vyplňuje fyzický formulář, tyto informace se pravděpodobně objeví někde ve skutečném formuláři. Alternativně mohou být informace v online prostředí uvedeny ve formuláři nebo na samostatné webové stránce. V obou případech musí být zřejmé a pro čtenáře snadno dostupné.
Například při přihlášení do NerdWallet , uživatel bude souhlasit se smluvními podmínkami společnosti a zásadami ochrany osobních údajů, které jsou uvedeny v samostatných dokumentech, které jsou dostupné prostřednictvím hypertextového odkazu:
V tomto případě pouhá registrace znamená, že uživatel souhlasí s uvedenými podmínkami a zásadami. V jiných případech mohou být požádáni, aby provedli další akci, jako je zaškrtnutí políčka, které potvrzuje, že si přečetli a porozuměli poskytnutým podmínkám a zásadám.
V mnoha situacích jsou tyto věci přeskočeny, zejména pokud uživatel již má určitou úroveň důvěry pro sbírající subjekt. V určitých situacích však můžete být mnohem ochotnější prozkoumat podmínky a zásady a získat relevantní informace. Řekněme například, že používáte služby subjektu z konkrétního důvodu ochrany údajů. Pokud nakupujete poskytovatele VPN nebo a rozšíření ochrany osobních údajů prohlížeče , budete chtít přesně vědět, jak budou příslušné společnosti s vašimi informacemi nakládat.
2. Měly by být nabídnuty volby a vyžadován souhlas
V zásadě tento princip dává spotřebitelům právo rozhodnout, jak budou jejich informace použity. To se týká spíše sekundárního použití, protože primární použití bude obvykle zřejmé, například pro přihlášení ke službě, dokončení nákupu nebo přístup k části obsahu.
Kromě primárního důvodu mohou subjekty chtít zaznamenávat a používat vaše data pro jiné účely, jako je například přidání do e-mailových seznamů jejich vlastních nebo jiných společností. Případně mohou prodávat hromadná data o chování nebo preferencích uživatelů třetím stranám.
Jakékoli použití dat nad rámec zjevného by mělo být jasně stanoveno. Spotřebitel by navíc měl mít možnost rozhodnout se, zda chce udělit souhlas s tím, aby byly jeho informace použity uvedeným způsobem. To lze provést na základě opt-in nebo opt-out, ale hlavní věc je, že možnosti jsou jasné a snadno se s nimi dá zakročit.
Koncept volby a souhlasu je něco, s čím se v rámci online aktivit setkáváme běžně. Formuláře pro registraci, nákup a odeslání často obsahují jedno nebo více zaškrtávacích políček na konci a můžete se cítit bombardováni žádostmi o různé způsoby použití vašich informací.
Běžným příkladem je možnost získat propagační informace od jakéhokoli subjektu, kterému předáváte své informace, jako je tomu v případě Registrační formulář kalifornské loterie :
Existují také situace, ve kterých můžete mít více možností, jak mohou být vaše informace použity. V případě NerdWallet lze možnosti odhlášení třetích stran nalézt v zásadách ochrany osobních údajů, které lze snadno najít z registračního formuláře, jak jsme uvedli výše:
Opět platí, že klíčové je, že možnosti jsou jasné a přihlášení nebo odhlášení je jednoduché. Jak je ukázáno v uvedených příkladech, lze toho dosáhnout v online prostředí poměrně snadno, takže by neměly existovat žádné výmluvy.
3. Spotřebitelé by měli mít přístup k údajům a jejich změny
Co se tedy stane s vašimi právy poté, co předáte svá data? Obecná shoda mezi zprávami a pokyny o ochraně osobních údajů je, že spotřebitelé by měli mít možnost přístupu k informacím, které poskytli.
Tento princip také vyjadřuje jejich právo napadnout informace, o kterých se domnívají, že jsou nepřesné, a/nebo mají možnost je změnit. Jedním z hlavních důvodů tohoto principu je, že dává největší šanci, že všechny informace jsou přesné a úplné – což ve skutečnosti navazuje na další princip.
To samozřejmě nebude fungovat, pokud je k informacím obtížné získat přístup, ať už kvůli zdlouhavému nebo drahému procesu. Je proto důležité, aby subjekty měly zavedené mechanismy, které spotřebitelům usnadní a zpřehlední přístup k jejich datům a jejich kontrolu. Podobně musí být schopni zpochybnit jeho přesnost úplnosti a/nebo provést změny bez potíží.
Například poskytovatelé e-mailu, platformy sociálních médií a weby elektronického obchodu – jako je Amazon – uživatelům usnadňují změnu jejich informací. Dává to smysl jak pro subjekty, tak pro spotřebitele.
4. Údaje by měly být přesné a bezpečné
Tento princip se týká integrity a bezpečnosti všech dat. Komponenta integrity navazuje na poslední princip, přičemž břemeno je na subjektech, aby udělaly, co mohou, aby zajistily, že všechny informace jsou přesné a správné. Právě jsme mluvili o dostupnosti dat a k tomu se vracíme. Subjekty musí zajistit, aby spotřebitelé měli přístup k údajům a mohli je napadnout nebo je pozměnit tak, aby byly skutečně přesné.
Je však také odpovědností těch, kdo shromažďují informace, aby přijali jiná opatření, než je přístupnost, aby zajistili integritu údajů, které uchovávají. To může znamenat křížové odkazy na jiné zdroje, aby bylo zajištěno, že poskytovatelé dat zadávají přesné informace. Může to také znamenat, že subjekty musí po určité době zlikvidovat data, která mohou být zastaralá nebo je anonymizovat.
Kromě integrity musí subjekty brát také bezpečnost dat spotřebitelů extrémně vážně. To znamená zavést opatření, která zajistí, že nedojde ke ztrátě dat a že k nim nebude možné bez oprávnění přistupovat, používat, měnit, ničit nebo zveřejňovat. Selhání zabezpečení informací může přijít za obrovskou cenu společnosti jako Morgan Stanley .
Samozřejmě i při vysoké bezpečnosti k únikům dat stále dochází . Aby to bylo zajištěno, existují stále přísnější opatření společnosti skutečně hlásí úniky dat . Nicméně, Poměrně nedávné přiznání Yahoo obrovský únik dat, ke kterému došlo před několika lety, ukazuje, že si nikdy nemůžeme být absolutně jisti, že naše informace jsou v bezpečí. Z tohoto důvodu je téměř nemožné říci, že konkrétní společnost je z hlediska bezpečnosti lepší než ostatní, jednoduše proto, že se u nich v novinách nedostalo žádné porušení.
Proto byste měli vždy dělat, co můžete, abyste se ochránili. Můžete začít tím, že se ujistíte, že nepoužíváte stejné heslo na více účtech. Také se ujistěte odstranit staré účty , aby se vaše data někde zbytečně neukládala. V ideálním případě by v tomto okamžiku měly být vaše informace zlikvidovány. Pokud tomu tak není, měly by být po určité době vymazány, agregovány nebo anonymizovány alespoň jakékoli osobní údaje.
Samozřejmě, kromě hackování, můžete mít také obavy o soukromí vašich informací z vládního hlediska. Electronic Frontier Foundation (EFF) odvádí dobrou práci při identifikaci prostřednictvím svého 'Kdo má tvoje záda?' seznam , na které společnosti si dát pozor, pokud jde o soukromí.
5. Jsou nezbytné mechanismy pro vymáhání a nápravu
Samozřejmě, že je všechno v pořádku, když máme pravidla týkající se poctivých informačních postupů, ale pokud neexistují žádné mechanismy k jejich vymáhání, jsou zbytečná. Navíc, pokud neexistuje žádná forma nápravy, neexistuje žádná nebo jen malá motivace pro subjekty, aby se řídily jakýmikoli pravidly.
Stejně jako u mnoha jiných předpisů existuje několik různých přístupů, které lze použít, pokud jde o prosazování těch, které obklopují praktiky poctivého informování. Zde se podíváme na hlavní tři:
Samoregulační režimy
Tento typ regulace by mohl být proveden podle uvážení samotného subjektu. Prostředky pro vás poskytují například stránky sociálních médií, jako je YouTube podat stížnost . Pokud jde o nápravu, měly by existovat procesy, aby zákazníci měli snadný přístup do systému stížností a aby byly jejich stížnosti prošetřeny.
Alternativně může vymáhání provádět externí regulační orgán. To může zahrnovat souhlas se spravedlivými informačními postupy, abyste se mohli připojit k průmyslové asociaci. Účetní jednotka může také pozvat externí auditory, aby ověřili, že dodržují pokyny, případně s certifikací udělenou na konci.
Soukromá legislativa
Soukromá legislativa obvykle dává spotřebiteli právo na odškodnění, pokud se stane obětí nekalých informačních praktik. Mohou mít například důvod k žalobě, pokud zneužití informací vedlo ke škodě. Elektronické informační centrum ochrany osobních údajů (EPIC) je nezávislá organizace, která se zabývá těmito typy občanských práv. Taky, Privacy International je britská organizace pro lidská práva, která pomáhá chránit právo lidí na soukromí.
Vládní legislativa
V určitých případech je vládní regulace vykonávána v rámci konkrétních průmyslových odvětví. Pokud si například v americkém zdravotnickém průmyslu myslíte, že jste byli porušeni agenturou krytou HIPAA, můžete podat stížnost s Úřad pro občanská práva (OCR). V mnoha zemích také existují způsoby hlášení porušení nezávislých na odvětví (více o tom v další části).
Hlášení porušení informací
Jak se online prostředí neustále mění, regulace týkající se poctivých informačních postupů se bude neustále vyvíjet. Evoluční povaha tohoto prostředí nenabízí zrovna klid pro spotřebitele, kteří jsou neustále žádáni, aby poskytovali osobní údaje nejrůznějším společnostem.
Nyní, když jste si vědomi základních principů poctivých informačních postupů, budete lépe vybaveni k tomu, abyste si při poskytování informací subjektům dávali pozor na určité příznaky. Kromě toho, ačkoli se pravidla budou v jednotlivých zemích a odvětvích lišit, budete lépe schopni rozpoznat, když účetní jednotka nedodržuje poctivé informační postupy.
Jak již bylo zmíněno, existuje několik míst, kde můžete nahlásit případy, kdy se domníváte, že došlo k porušení pravidel. O několika jsme mluvili výše a existují také formuláře pro jednotlivé země, z nichž některé jsou uvedeny zde:
- SPOJENÉ KRÁLOVSTVÍ: Úřad komisaře pro informace (ICO)
- NÁS: Federální obchodní komise (FTC)
- Kanada: Kancelář kanadské komise pro ochranu soukromí (OPC)
- Austrálie: Úřad australského komisaře pro informace (OAIC)
Obecně platí, že nejlepší radou, kterou můžeme dát, je pečlivě chránit své informace a snažit se jednat pouze s podniky, kterým důvěřujete, že udělají totéž. Nezapomeňte si pozorně přečíst smluvní podmínky a zásady ochrany osobních údajů, a pokud máte nějaké pochybnosti, zeptejte se!