A gyerekek szeretnek öltözködni, de a szülők nem szeretnék, ha engedély és megfelelő felügyelet nélkül a padláson turkálnának vagy felmásznának a szekrény legfelső polcára. Az i-Dressup.com weboldal virtuális lehetőséget kínált a felhasználóknak – köztük a gyerekeknek is -, hogy öltözködősdit játszanak és ruhákat tervezzenek e potenciális veszélyek nélkül. Az FTC panasza szerint azonban az i-Dressup mögött álló Unixiz, Inc. olyan módon sértette meg a gyermekek online adatainak védelméről szóló törvényt, amely másfajta kockázatokat teremtett.
A COPPA két külön védelmi rendszert hoz létre annak érdekében, hogy a szülők felügyelhessék a gyermekeikről online gyűjtött személyes adatokat. Először is, a COPPA hatálya alá tartozó vállalatoknak világosan közzé kell tenniük információs politikájukat, és szülői beleegyezést kell kérniük, mielőtt személyes adatokat gyűjtenének 13 év alatti gyermekektől. Másodszor, a vállalatoknak ésszerű és megfelelő biztonságot kell nyújtaniuk az általuk gyűjtött adatok számára. Az FTC egyezsége szerint az i-Dressup nem teljesítette mindkét COPPA-követelményt.
A panasz szerint az i-Dressup nem adott megfelelő tájékoztatást a weboldalán a gyerekektől online gyűjtött információkról, azok felhasználási módjáról, a közzétételi gyakorlatáról és a COPPA-szabály által előírt egyéb sajátosságokról. A vállalat által a szülőknek küldött közvetlen értesítések is hiányosak voltak. Többek között nem tartalmazta a COPPA által előírt nyilatkozatot arról, hogy ha a szülők ésszerű időn belül nem adnak beleegyezést, az i-Dressup törli online kapcsolattartási adataikat a nyilvántartásából. Maradjunk a történetnél, mert ez a mulasztás különösen aggasztónak bizonyult.
Amellett, hogy a felhasználók online játékokat játszhattak, az i-Dressup egy olyan közösséget is kínált, ahol “kreativitásukat és divatérzéküket egyedi személyes profilokkal fedezhették fel”, és kapcsolatba léphettek másokkal. A regisztrációhoz az i-Dressup felhasználói név, jelszó, születési dátum és e-mail cím megadására volt szükség. Ha a születési dátum azt jelezte, hogy az illető 13 év alatti, az e-mail mezőt “Szülői e-mailre” változtatták. Miután a 13 év alatti felhasználó kitöltötte a szükséges mezőket, és rákattintott a “Csatlakozás most” gombra, az i-Dressup összegyűjtötte a személyes adatokat, és üzenetet küldött a szülői e-mail mezőbe beírt címre. Az e-mail címzettje az “Aktiváld most!” gombra kattintva adhatta meg a hozzájárulását.
Ha azonban a szülő nem adta meg a hozzájárulását, az i-Dressup megtartotta a gyermekről online gyűjtött személyes adatokat. Az FTC szerint az, hogy a vállalat nem törölte ezeket az adatokat, sértette a COPPA-szabály 312.5(c)(1) szakaszát.
A COPPA szülői hozzájárulásra vonatkozó rendelkezéseinek megsértése mellett az i-Dressup állítólag megsértette a szabály adatbiztonsági követelményeit is. Az FTC szerint az i-Dressup a felhasználók személyes adatait (beleértve a jelszavakat is) egyszerű szövegben tárolta és továbbította. Ezenkívül a vállalat nem végezte el a hálózat sebezhetőségi tesztelését, még az olyan jól ismert fenyegetések tekintetében sem, mint az SQL-támadások; nem vezetett be behatolásérzékelő és -megelőző rendszert; és nem figyelte a potenciális biztonsági incidenseket. A végeredmény? A vállalat megtudta, hogy egy hacker bejutott a hálózatába, és hozzáférhetett 2,1 millió felhasználó adataihoz, köztük körülbelül 245 000 olyan felhasználóhoz, aki 13 év alattinak vallotta magát.
Az ügy rendezése érdekében az i-Dressup és tulajdonosai 35 000 dollár polgári jogi bírságot fizetnek. Emellett megtiltják nekik, hogy a jövőben megsértsék a COPPA-t, és nem adhatnak el, nem oszthatnak meg és nem gyűjthetnek személyes adatokat, amíg átfogó adatbiztonsági programot nem vezetnek be, és nem kapnak kétévente független értékelést. Ezenkívül évente igazolniuk kell az FTC-nek a megfelelésüket.
A COPPA hatálya alá tartozó webhelyek és üzemeltetők számára az az üzenet, hogy a szülői beleegyezés hatékony rendszere csak az első lépés a megfelelés felé. A COPPA-szabály 312.8. szakasza azt is előírja, hogy “ésszerű eljárásokat kell létrehoznia és fenntartania a gyermekektől gyűjtött személyes adatok bizalmas kezelésének, biztonságának és integritásának védelme érdekében.”
Érdeklődik az adatbiztonsági kérdések iránt? Olvassa el a Bizottság kísérő nyilatkozatát, és tudjon meg többet egy másik ma bejelentett FTC-akcióról.