Børn elsker at klæde sig ud, men forældre vil ikke have, at de roder på loftet eller klatrer op på den øverste hylde i garderoben uden tilladelse og passende opsyn. Webstedet i-Dressup.com tilbød brugerne – herunder børn – en virtuel måde at lege påklædning og designe tøj på uden disse potentielle farer. Men ifølge en klage fra FTC overtrådte Unixiz, Inc. og selskabet bag i-Dressup, Children’s Online Privacy Protection Act på måder, der skabte forskellige former for risici.
COPPA indeholder to separate sæt beskyttelsesforanstaltninger, der skal hjælpe forældrene med at bevare kontrollen med de personlige oplysninger, der indsamles fra deres børn på nettet. For det første skal virksomheder, der er omfattet af COPPA, klart oplyse om deres informationspolitikker og indhente forældrenes samtykke, før de indsamler personlige oplysninger fra børn under 13 år. For det andet skal virksomhederne sørge for rimelig og passende sikkerhed for de data, de indsamler. Ifølge et forlig indgået af FTC opfyldte i-Dressup ikke begge COPPA-krav.
Klagen hævder, at i-Dressup undlod at give tilstrækkelig meddelelse på sit websted om de oplysninger, der blev indsamlet online fra børn, hvordan de blev brugt, om dets praksis for videregivelse af oplysninger og om andre specifikke forhold, der kræves i henhold til COPPA-reglerne. Virksomhedens direkte meddelelser til forældrene var også mangelfulde. De indeholdt bl.a. ikke den af COPPA krævede erklæring om, at hvis forældrene ikke giver deres samtykke inden for en rimelig tid, vil i-Dressup slette deres online-kontaktoplysninger fra sine registre. Følg med i historien, fordi denne mangel viste sig at være særlig bekymrende.
Ud over at lade brugerne spille onlinespil havde i-Dressup et fællesskab, hvor de kunne “udforske deres kreativitet og modesans med unikke personlige profiler” og interagere med andre. For at registrere sig krævede i-Dressup, at folk skulle angive et brugernavn, en adgangskode, fødselsdato og en e-mailadresse. Hvis fødselsdatoen angav, at personen var under 13 år, blev e-mailfeltet ændret til “Forældrenes e-mail”. Når brugeren under 13 år havde udfyldt de krævede felter og klikket på “Tilmeld dig nu”, indsamlede i-Dressup de personlige oplysninger og sendte en meddelelse til den adresse, der var angivet i feltet “Forældrenes e-mail”. Den person, der modtog e-mailen, kunne give sit samtykke ved at klikke på knappen “Aktivér nu!”.
Hvis forældrene ikke gav deres samtykke, beholdt i-Dressup imidlertid de personlige oplysninger, som den havde indsamlet fra barnet online. FTC siger, at virksomhedens manglende sletning af disse oplysninger var en overtrædelse af afsnit 312.5(c)(1) i COPPA-reglen.
Ud over at overtræde COPPA’s bestemmelser om forældresamtykke har i-Dressup angiveligt overtrådt reglens krav til datasikkerhed. Ifølge FTC lagrede og overførte i-Dressup brugernes personlige oplysninger (herunder adgangskoder) i klar tekst. Desuden undlod virksomheden at foretage sårbarhedstest af sit netværk, selv for velkendte trusler som f.eks. SQL-angreb, den implementerede ikke et system til registrering og forebyggelse af indbrud, og den overvågede ikke potentielle sikkerhedshændelser. Resultatet? Virksomheden erfarede, at en hacker havde fået adgang til virksomhedens netværk og tilgået oplysninger om 2,1 mio. brugere, herunder ca. 245 000 brugere, der angav, at de var under 13 år.
For at bilægge sagen vil i-Dressup og dets ejere betale en civilretlig bøde på 35 000 USD. De har også forbud mod at overtræde COPPA i fremtiden, og de må ikke sælge, dele eller indsamle personlige oplysninger, før de har indført et omfattende datasikkerhedsprogram og får uafhængige vurderinger hvert andet år. Desuden skal de årligt give FTC et certifikat om overholdelse af reglerne.
Budskabet til websteder og operatører, der er omfattet af COPPA, er, at et effektivt system for forældresamtykke kun er det første skridt i retning af overholdelse af reglerne. Afsnit 312.8 i COPPA-reglen kræver også, at du “opretter og vedligeholder rimelige procedurer til at beskytte fortroligheden, sikkerheden og integriteten af personlige oplysninger, der indsamles fra børn.”
Interesserer du dig for datasikkerhedsspørgsmål? Læs en ledsagende erklæring fra Kommissionen og få mere at vide om en anden FTC-aktion, der blev annonceret i dag.