Dochodzenie/działania FTC dotyczące „obietnic dotyczących prywatności a rzeczywistość”

Jednym z najczęściej powtarzających się schematów w egzekwowaniu przepisów dotyczących prywatności i cyberbezpieczeństwa jest prosta zasada: to, co firmy deklarują w swoich politykach prywatności, to jedno, a to, co faktycznie robią w ramach swojej działalności, to zupełnie inna sprawa.

Niedawne działania FTC dotyczące serwisów OkCupid i Match Group Americas stanowią dobry przykład tej „rozbieżności między obietnicami a praktyką”. FTC zarzuca serwisowi OkCupid udostępnianie danych osobowych użytkowników, w tym zdjęć i danych dotyczących lokalizacji, niepowiązanej stronie trzeciej, co jest sprzeczne z obietnicami OkCupid dotyczącymi prywatności.

Link

Foto: Freepik

Według FTC:

OkCupid zapewniał konsumentów, że nie będzie udostępniać danych osobowych, z wyjątkiem przypadków opisanych w Polityce prywatności lub sytuacji, w których użytkownicy zostali o tym poinformowani i mieli możliwość wyrażenia sprzeciwu. Pomimo tych obietnic FTC twierdzi, że OkCupid udostępnił podmiotowi zewnętrznemu dane osobowe milionów użytkowników, w tym dostęp do prawie trzech milionów zdjęć użytkowników, a także do informacji o lokalizacji i innych danych.

FTC twierdzi również, że strona trzecia zażądała tych danych, ponieważ założyciele OkCupid byli inwestorami finansowymi tej strony trzeciej, a OkCupid nie nałożył formalnych ograniczeń umownych dotyczących sposobu wykorzystania danych. Ponadto FTC twierdzi, że podjęto kroki w celu ukrycia i zaprzeczenia udostępnianiu danych, w tym próby utrudniania dochodzenia FTC.

Proponowana ugoda zabrania serwisom OkCupid i Match wprowadzania w błąd (lub pomagania innym w wprowadzaniu w błąd) w odniesieniu do:

➡️ sposobu gromadzenia, wykorzystywania, ujawniania, usuwania i ochrony danych osobowych (w tym zdjęć, danych demograficznych i geolokalizacji),

➡️ celu gromadzenia, wykorzystywania i ujawniania danych,

➡️ oraz działania narzędzi kontroli prywatności i mechanizmów wyboru dostępnych konsumentom zgodnie z przepisami dotyczącymi ochrony prywatności.

Ten ostatni punkt jest ważny: organy regulacyjne coraz częściej sprawdzają, czy mechanizmy kontroli w interfejsach użytkownika działają zgodnie z reklamą, a nie tylko czy polityka „wspomina o możliwości rezygnacji”.

Dla mnie ta sprawa ponownie pokazuje, że publiczne deklaracje firm to jedno, a rzeczywiste praktyki biznesowe to coś zupełnie innego.

Nie wiem, czy w tym przypadku zachowanie było celowo wprowadzające w błąd, czy też wynikało z nieporozumienia / złego zarządzania (mam co do tego wątpliwości). Jednak po wielu latach pracy w tej branży widziałem wiele „kreatywnych” praktyk.

Zgodność z przepisami to nie to, co mówisz. Zgodność z przepisami to to, co możesz udowodnić.

Autor: Sebastian Burgemejster