Děti si rády hrají na převlékače, ale rodiče by nechtěli, aby se bez dovolení a řádného dozoru přehrabovaly na půdě nebo lezly na horní polici skříně. Webová stránka i-Dressup.com nabídla uživatelům – včetně dětí – virtuální způsob, jak si hrát na oblékání a navrhovat oblečení bez těchto potenciálních nebezpečí. Podle stížnosti FTC však společnost Unixiz, Inc. stojící za i-Dressup porušila zákon o ochraně soukromí dětí na internetu způsobem, který vytvářel různé druhy rizik.
Zákon o ochraně soukromí dětí na internetu zavádí dva samostatné soubory ochranných opatření, které pomáhají rodičům udržet kontrolu nad osobními údaji shromážděnými od jejich dětí na internetu. Za prvé, společnosti, na které se vztahuje COPPA, musí jasně zveřejnit své informační zásady a získat souhlas rodičů před shromažďováním osobních údajů od dětí mladších 13 let. Za druhé musí společnosti zajistit přiměřené a vhodné zabezpečení shromažďovaných údajů. Podle urovnání FTC společnost i-Dressup nesplnila oba požadavky COPPA.
Stížnost tvrdí, že společnost i-Dressup na svých stránkách neposkytla dostatečné informace o informacích, které od dětí shromažďuje online, o tom, jak je používá, o svých postupech zveřejňování informací a o dalších podrobnostech vyžadovaných pravidlem COPPA. Nedostatečná byla i přímá oznámení společnosti určená rodičům. Mimo jiné neobsahovala prohlášení vyžadované zákonem COPPA, že pokud rodiče v přiměřené lhůtě neposkytnou souhlas, společnost i-Dressup jejich online kontaktní údaje ze svých záznamů vymaže. Držte se příběhu, protože toto pochybení se ukázalo jako obzvláště znepokojivé.
Kromě toho, že i-Dressup umožňoval uživatelům hrát online hry, obsahoval komunitu, kde mohli „prozkoumat svou kreativitu a smysl pro módu pomocí jedinečných osobních profilů“ a komunikovat s ostatními. Pro registraci vyžadoval i-Dressup zadání uživatelského jména, hesla, data narození a e-mailové adresy. Pokud datum narození naznačovalo, že osoba je mladší 13 let, pole pro e-mail se změnilo na „e-mail rodiče“. Jakmile uživatel mladší 13 let vyplnil požadovaná pole a kliknul na tlačítko „Join Now“, i-Dressup shromáždil osobní údaje a odeslal zprávu na adresu zadanou do pole „Parent’s Email“. Osoba, která e-mail obdržela, mohla souhlasit kliknutím na tlačítko „Aktivovat nyní!“.
Pokud však rodič souhlas neudělil, společnost i-Dressup si ponechala osobní údaje, které od dítěte shromáždila online. Podle FTC společnost tím, že tyto informace nevymazala, porušila ustanovení čl. 312 odst. 5 písm. c) bodu 1 pravidla COPPA.
Kromě porušení ustanovení o souhlasu rodičů podle pravidla COPPA společnost i-Dressup údajně porušila i požadavky na zabezpečení údajů podle tohoto pravidla. Podle FTC společnost i-Dressup ukládala a předávala osobní údaje uživatelů (včetně hesel) v prostém textu. Kromě toho společnost neprováděla testování zranitelnosti své sítě, a to ani v případě dobře známých hrozeb, jako jsou útoky SQL, nezavedla systém detekce a prevence narušení a nemonitorovala případné bezpečnostní incidenty. Výsledek? Společnost zjistila, že hacker získal přístup do její sítě a získal přístup k informacím o 2,1 milionu uživatelů, včetně přibližně 245 000 uživatelů, kteří uvedli, že jsou mladší 13 let.
V rámci urovnání případu zaplatí společnost i-Dressup a její majitelé občanskoprávní pokutu ve výši 35 000 USD. Mají také zakázáno porušovat v budoucnu zákon COPPA a nesmějí prodávat, sdílet ani shromažďovat žádné osobní údaje, dokud nezavedou komplexní program zabezpečení údajů a nezískají nezávislé dvouleté hodnocení. Kromě toho budou muset každoročně předkládat FTC osvědčení o dodržování předpisů.
Poselství pro weby a provozovatele, na které se vztahuje COPPA, je, že účinný systém rodičovského souhlasu je pouze prvním krokem k dodržování předpisů. Oddíl 312.8 pravidla COPPA také vyžaduje, abyste „zavedli a udržovali přiměřené postupy na ochranu důvěrnosti, bezpečnosti a integrity osobních údajů shromážděných od dětí.“
Zajímá vás problematika zabezpečení údajů? Přečtěte si doprovodné prohlášení Komise a dozvíte se více o další dnes oznámené akci FTC.