Po wpadkach z danymi i zarzutach FTC, Uber zgadza się na 20 lat audytów prywatności

Po ujawnieniu, że wiele zasad Ubera nie pozwoliło na śledzenie dostępu pracowników do danych klientów – w tym tak zwanego „God view”, który pozwalał pracownikom szpiegować użytkowników aplikacji rideshare w czasie rzeczywistym – firma zgodziła się wdrożyć kompleksowy program ochrony prywatności w celu rozstrzygnięcia zarzutów Federalnej Komisji Handlu. Polityka ta musi obowiązywać przez najbliższe 20 lat i obejmuje regularne, niezależne audyty prywatności.

FTC badała odpowiedź Ubera na program „God view” (który, jak twierdzą prawnicy FTC, był egzekwowany tylko przez około osiem miesięcy) oraz masowe naruszenie danych w maju 2014 roku, kiedy to skradziono ponad 100 000 nazwisk i numerów licencji kierowców Ubera.

Niebezpieczeństwo

„Uber zawiódł konsumentów na dwa kluczowe sposoby” – powiedziała p.o. przewodniczącego FTC Maureen K. Ohlhausen ogłaszając ugodę. „Po pierwsze poprzez fałszywe przedstawienie zakresu, w jakim monitorował dostęp swoich pracowników do informacji osobowych o użytkownikach i kierowcach, a po drugie poprzez fałszywe przedstawienie, że podjął rozsądne kroki w celu zabezpieczenia tych danych”. Według FKH:

W następstwie doniesień prasowych zarzucających pracownikom Ubera niewłaściwy dostęp do danych konsumentów, firma wydała oświadczenie w listopadzie 2014 r., że ma „ścisłą politykę zabraniającą” pracownikom dostępu do danych jeźdźców i kierowców – z wyjątkiem ograniczonego zestawu uzasadnionych celów biznesowych – oraz że dostęp pracowników będzie ściśle monitorowany na bieżąco. W grudniu 2014 r. Uber opracował zautomatyzowany system monitorowania dostępu pracowników do danych osobowych konsumentów, ale firma przestała go używać w niecały rok po jego wprowadzeniu. Skarga FKH zarzuca Uberowi, że przez ponad dziewięć miesięcy po tym fakcie rzadko monitorował wewnętrzny dostęp do informacji osobowych o użytkownikach i kierowcach.

Uber rzekomo nie zapewnił również rozsądnego bezpieczeństwa wymaganego do zapobiegania nieautoryzowanemu dostępowi do informacji osobowych konsumentów, które były przechowywane u zewnętrznego dostawcy usług w chmurze, pomimo jego twierdzeń, że dane były „bezpiecznie przechowywane w naszych bazach danych”.

Surowy Uber

Zgodnie z ugodą Uber ma zakaz wprowadzania w błąd co do tego, w jaki sposób monitoruje wewnętrzny dostęp do danych osobowych konsumentów oraz w jaki sposób chroni i zabezpiecza te dane, a także jest zobowiązany do wdrożenia kompleksowego programu ochrony prywatności, który dotyczy zagrożeń prywatności związanych z nowymi i istniejącymi produktami i usługami oraz chroni prywatność i poufność danych osobowych gromadzonych przez firmę. Firma musi również poddawać się niezależnym, zewnętrznym audytom nowego programu ochrony prywatności co dwa lata przez następne 20 lat.

„Ten przypadek pokazuje, że nawet jeśli jesteś szybko rozwijającą się firmą”, dodał Ohlhausen, „nie możesz zostawić konsumentów w tyle: musisz honorować swoje obietnice dotyczące prywatności i bezpieczeństwa”.