Terveystietojen osalta noudata COPPA-lainsäädäntöä – ei vitsi

Kuluttajien terveystiedot ovat jo nyt erityisen arkaluonteinen luokka. Mutta terveystiedot ja muut henkilötiedot alle kahdeksanvuotiailta lapsilta? Tämä voi herättää stratosfäärissä yksityisyyttä koskevia huolenaiheita. 1,5 miljoonan dollarin FTC:n sovinto WW International, Inc:n – tunnet heidät aiemmalla nimellä Weight Watchers – ja sen tytäryhtiön Kurbo, Inc:n kanssa korostaa periaatetta, jonka mukaan tällaisten tietojen kerääminen ja ylläpitäminen lisää yrityksen vaatimustenmukaisuusvastuita. Mistä FTC:n mukaan vastaajat menivät pieleen tässä tapauksessa ja mitä ohjeita yrityksesi voi saada Children’s Online Privacy Protection Act -säännöstä? Jatka lukemista.

COPPA-sääntö edellyttää, että verkkosivustot, sovellukset ja verkkopalvelut ilmoittavat vanhemmille ja hankkivat heidän nimenomaisen suostumuksensa ennen henkilötietojen keräämistä, käyttöä tai paljastamista alle 13-vuotiailta lapsilta. Sääntöä sovelletaan kahdessa eri tilanteessa: 1) jos sivusto, sovellus tai palvelu on suunnattu alle 13-vuotiaille lapsille; tai 2) jos sivustolla, sovelluksella tai palvelulla on “todellista tietoa, että se kerää henkilökohtaisia ​​tietoja” kyseiseen ikäryhmään kuuluvilta lapsilta. (Säännön jakso 312.2 sisältää standardit, joita sovelletaan näiden päätösten tekemiseen.) FTC väittää, että WW International ja Kurbo rikkoivat COPPA-sääntöä käyttäessään Kurbo-painonpudotussovellusta.

Teini-ikäisten ja muiden perheenjäsenten lisäksi jo kahdeksanvuotiaat lapset voivat seurata painoaan, ravinnonsaantiaan ja fyysistä aktiivisuuttaan Kurbo-sovelluksella. Sovellus kerää myös muita henkilökohtaisia ​​tietoja – esimerkiksi nimiä, sähköpostiosoitteita ja syntymäaikoja. Vuoteen 2019 asti käyttäjät voivat rekisteröityä palveluun sovelluksessa joko ilmoittamalla, että he rekisteröityvät lapsensa puolesta tai että he olivat 13-vuotias tai vanhempi rekisteröityessään itselleen.

Mutta kantelun mukaan, jonka oikeusministeriö jätti FTC:n puolesta, vastaajien ilmoittautumisprosessi johti siihen, että monet alle 13-vuotiaat käyttäjät rekisteröityivät ilman vanhemman lupaa. Kyllä, siellä oli teksti, jossa kerrottiin, että alle 13-vuotiaiden on rekisteröidyttävä vanhemman kautta. Mutta vuosina 2014–2019 sadat käyttäjät, jotka rekisteröityivät sovellukseen väittäen olevansa yli 13-vuotiaita, muuttivat myöhemmin henkilökohtaisia ​​profiilejaan sisältämään syntymäpäivät, jotka paljastivat olevansa sitä nuorempia. Siitä huolimatta FTC sanoo, että WW ja Kurbo antoivat lapsille pääsyn sovellukseen. Tämä käytäntö ei loppunut ennen kuin FTC:n henkilökunta otti yhteyttä yrityksiin.

Lisäksi vuonna 2020 vastaajat päivittivät 13-vuotiaille ja sitä vanhemmille ilmoittautumisvaihtoehdon, mutta FTC:n mukaan prosessin ongelmat jatkuivat. Valituksen mukaan vastaajat eivät pystyneet tarjoamaan mekanismia sen varmistamiseksi, että vanhempien kirjautumisvaihtoehdon valinneet käyttäjät olivat todella vanhempia – eivätkä vain lapsia, jotka yrittävät kiertää ikärajoitusta.

Lisäksi COPPA-säännön kohta 312.4 edellyttää, että COPPA:n piiriin kuuluva yritys “tekee käytettävissä olevan teknologian huomioon ottaen kohtuullisia ponnisteluja varmistaakseen, että lapsen vanhempi saa suoran tiedon” tiedottamiskäytännöistään. Mutta FTC:n mukaan marraskuuhun 2019 asti WW ja Kurbo eivät yrittäneet ilmoittaa vanhemmille sovelluksen kautta, ja vanhemmille, jotka rekisteröivät lapsensa vastaajan tai tytäryhtiön verkkosivustolle, näytettiin ilmoitus tiedonkeruusta vain, jos he napsautti muiden linkkien joukkoon hautautunutta hyperlinkkiä. Valitus lieventää edelleen sitä, että vuonna 2019 tehdyistä muutoksista huolimatta vastaajat eivät edelleenkään noudattaneet COPPA:n vaatimuksia siitä, mitä suorassa ilmoituksessa on kerrottava vanhemmille. FTC sanoo myös, että WW ja Kurbo rikkoivat COPPA-säännön tietojen poistosäännöksiä säilyttämällä lasten henkilötietoja rajoituksetta ja poistamalla ne vain vanhemman pyynnöstä.

1,5 miljoonan dollarin siviilirangaistuksen määräämisen lisäksi sovinto edellyttää, että vastaajat tarkistavat lapsiin liittyvää tiedotuskäytäntöään ja COPPA-vaatimusten noudattamista. WW:n ja Kurbon on myös poistettava kaikki laittomasti kerätyt tiedot 30 päivän kuluessa tilauksesta, ellei se ilmoita asiasta suoraan ja saa vanhempien suostumusta käyttää näitä aiemmin kerättyjä tietoja COPPA-lain mukaisella tavalla. Heidän täytyy myös tuhota kaikki laittomasti kerätyistä tiedoista johdetut algoritmit. Jatkossa heidän on tuhottava kaikki alle 13-vuotiailta kerätyt tiedot, jos lapsen sovelluksen käytöstä on kulunut yli vuosi.

Tapaus ehdottaa kolmea ohjetta noudattaa muita yrityksiä.

Tarkista ikäporttisi lukko. Ei ole poissuljettua, että alle 13-vuotias lapsi voi yrittää käyttää sivustosi tai sovelluksesi palveluita, varsinkin jos – kuten tässä tapauksessa – tarjoat palveluita alle 13-vuotiaille lapsille. Viisaat yritykset miettivät läpi seulontaprosessiensa käytännön vaikutukset ja tietää, että he eivät voi välttää COPPA-velvoitteitaan asettamalla ei-neutraalin ikärajan sulkeakseen pois juuri ne käyttäjät, jotka heidän sivustonsa tai sovelluksensa on tarkoitus houkutella. (Ajattele asiaa näin: Kuinka tehokasta olisi laittaa leikkikentän eteen kyltti, jossa lukee “Avoinna vain vanhemmille ja 13-vuotiaille ja sitä vanhemmille lapsille” ja pitää kaikki nuoremmat poissa?) Myös jos aiot tarjota palveluita sivustolla tai sovelluksessa, jotka on varattu vanhemmille käyttäjille, pidä silmällä muita todisteita joka viittaa luvattomaan käyttöön – esimerkiksi eri syntymäpäivään profiilisivulla.

Noudata COPPAn ilmoitusvaatimuksia. Kun on kyse lasten tietojen keräämisestä verkossa, COPPA laittaa vanhemmat kuljettajan paikalle. Sääntö on erityinen ilmoitusvaatimuksissaan, ja yritysten on helpotettava isien ja äitien tietojen saamista tiedottamiskäytännöistään.

Poista tiedot huolellisesti. COPPA-lain mukainen tietojen säilyttäminen ei ole ikuinen ehdotus. Kohdan 312.10 mukaan voit säilyttää lasten henkilökohtaisia ​​tietoja “vain niin kauan kuin on kohtuudella tarpeen sen tarkoituksen toteuttamiseksi, jota varten tiedot kerättiin”. Sen jälkeen sinulla on lakisääteinen velvollisuus poistaa se tavalla, joka varmistaa sen turvallisen tuhoutumisen. Lue kohdassa COPPA, tietojen poistaminen ei ole vain hyvä idea. Se on laki käytännön oivalluksille.

Löydä lisää vaatimustenmukaisuutta koskevia resursseja FTC:n Lasten tietosuoja -sivulta.

Leave a Comment