Dzieci uwielbiają bawić się w przebieranki, ale rodzice nie chcieliby, aby grzebały na strychu lub wspinały się na najwyższą półkę szafy bez pozwolenia i odpowiedniego nadzoru. Strona internetowa i-Dressup.com oferowała użytkownikom – w tym dzieciom – wirtualny sposób na zabawę w przebieranki i projektowanie ubrań bez tych potencjalnych niebezpieczeństw. Ale zgodnie ze skargą FKH, Unixiz, Inc, firma stojąca za i-Dressup, naruszyła Children’s Online Privacy Protection Act w sposób, który stwarzał różne rodzaje ryzyka.
COPPA wprowadza dwa oddzielne zestawy zabezpieczeń, aby pomóc rodzicom zachować kontrolę nad informacjami osobowymi zbieranymi od ich dzieci w Internecie. Po pierwsze, firmy objęte ustawą COPPA muszą wyraźnie ujawnić swoją politykę informacyjną i uzyskać zgodę rodziców przed zebraniem danych osobowych od dzieci poniżej 13 roku życia. Po drugie, firmy muszą zapewnić rozsądne i właściwe zabezpieczenie dla zbieranych przez siebie danych. Zgodnie z ugodą zawartą z FKH, i-Dressup nie spełniła obu wymogów COPPA.
Zażalenie zarzuca i-Dressup, że nie dostarczyła na swojej stronie wystarczającego powiadomienia o informacjach, które zbierała online od dzieci, o tym, jak je wykorzystywała, o swoich praktykach ujawniania informacji i o innych szczegółach wymaganych przez zasadę COPPA. Bezpośrednie powiadomienia kierowane przez firmę do rodziców również były niewystarczające. Między innymi nie zawierały one wymaganego przez COPPA oświadczenia, że jeśli rodzice nie wyrażą zgody w rozsądnym czasie, i-Dressup usunie ich informacje kontaktowe online ze swoich rejestrów. Trzymaj się tej historii, ponieważ to niepowodzenie okazało się szczególnie niepokojące.
Oprócz umożliwienia użytkownikom grania w gry online, i-Dressup zawierał społeczność, w której mogli oni „odkrywać swoją kreatywność i zmysł mody dzięki unikalnym profilom osobistym” i wchodzić w interakcje z innymi. Aby się zarejestrować, i-Dressup wymagał od użytkowników podania nazwy użytkownika, hasła, daty urodzenia i adresu e-mail. Jeśli data urodzenia wskazywała, że dana osoba ma mniej niż 13 lat, pole adresu e-mail zmieniało się na „Email rodzica”. Gdy użytkownik poniżej 13. roku życia wypełnił wymagane pola i kliknął przycisk „Dołącz teraz”, i-Dressup gromadził dane osobowe i wysyłał wiadomość na adres wprowadzony w polu adresu e-mail rodzica. Osoba otrzymująca e-mail mogła wyrazić zgodę, klikając przycisk „Aktywuj teraz!”.
Jednakże, jeżeli rodzic nie wyraził zgody, i-Dressup zachowywał dane osobowe, które zebrał od dziecka online. FKH twierdzi, że nieusunięcie tych informacji przez firmę naruszyło sekcję 312.5(c)(1) zasady COPPA.
Oprócz naruszenia przepisów COPPA dotyczących zgody rodzicielskiej, i-Dressup rzekomo naruszył wymagania zasady dotyczące bezpieczeństwa danych. Według FKH, i-Dressup przechowywała i przekazywała dane osobowe użytkowników (łącznie z hasłami) w postaci zwykłego tekstu. Ponadto, firma nie przeprowadziła testów podatności swojej sieci na zagrożenia, nawet na dobrze znane zagrożenia, takie jak ataki SQL; nie wdrożyła systemu wykrywania i zapobiegania włamaniom; i nie monitorowała potencjalnych incydentów bezpieczeństwa. Skutek? Firma dowiedziała się, że haker zdobył wejście do swojej sieci i uzyskał dostęp do informacji o 2,1 mln użytkowników, w tym około 245 000 użytkowników, którzy wskazali, że są poniżej 13.
Aby rozstrzygnąć sprawę, i-Dressup i jego właściciele zapłacą 35 000 dolarów kary cywilnej. Mają również zakaz naruszania COPPA w przyszłości i nie mogą sprzedawać, udostępniać ani zbierać żadnych danych osobowych do czasu wdrożenia kompleksowego programu bezpieczeństwa danych i uzyskania niezależnych dwuletnich ocen. Ponadto będą one musiały dostarczać FKH coroczne poświadczenie zgodności.
Przesłanie dla witryn i operatorów objętych COPPA jest takie, że skuteczny system zgody rodziców jest tylko pierwszym krokiem w kierunku zgodności. Sekcja 312.8 Reguły COPPA wymaga również „ustanowienia i utrzymywania rozsądnych procedur ochrony poufności, bezpieczeństwa i integralności danych osobowych zbieranych od dzieci.”
Interesują Cię kwestie bezpieczeństwa danych? Przeczytaj towarzyszące oświadczenie Komisji i dowiedz się więcej o innym ogłoszonym dzisiaj działaniu FKH.
.