Microsoft blokuje „dzieciom” usługi, weryfikacja za 2 zł lub skan dowodu
Nie podaliście podczas zakładania konta Microsoftu świadczącejo dorosłości daty urodzenia? Prawdopodobnie będziecie mielikłopoty przy korzystaniu z wielu usług. Od kilku dni firma zRedmond, kierując się osobliwie rozumianą interpretacjąrozporządzeń RODO (GDPR) blokuje dostęp do Skype czy Outlooka (aprawdopodobnie też innych usług) wszystkim tym kontom, co doktórych może założyć, że należą do osób nie mającychminimalnego wymaganego wieku do samodzielnego z tych usługkorzystania. Zamiast ekranu logowania zobaczą jedynie komunikatPotrzebujesz zgody rodzica – i przekierowanie do ustawieńKonta Microsoft, gdzie mogą uzyskać pozwolenie rodziców.
30.04.2018 15:13
Przetwarzanie danych osobowychdzieci jest objęte przez RODO szczególnymi restrykcjami.Rozporządzenie stanowi, że dzieci mogą być mniejświadome ryzyka, konsekwencji, zabezpieczeń i praw przysługującychim w związku z przetwarzaniem danych osobowych,konieczna jest więc szczególna ochrona do wykorzystywaniadanych osobowych dzieci do celów marketingowych lub do tworzeniaprofili osobowych lub profili użytkownika oraz do zbierania danychosobowych dotyczących dzieci.
RODO stanowi też, że jeżelidziecko nie ukończyło 16 lat, na przetwarzanie danych wyrazićzgodę muszą osoby sprawujące władzę rodzicielską lub opiekęnad dzieckiem. Państwa członkowskie UE mogą w swoim ustawodawstwieprzewidzieć niższy próg wieku – nie niższy jednak niż 13 lat.Niezależnie jednak od wyznaczonego progu, oczekiwane jest, byadministrator danych osobowych podjął rozsądne starania,by zweryfikować, czy osoba sprawująca władzę rodzicielską lubopiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
To wystarczyło, by Microsoftpodjął rozsądne starania… tj. zgodne z amerykańską ustawąChildren's Online Privacy Protection Act (COPPA). W praktyce oznaczato pozyskiwanie znacznie większej ilości danych, niż można byłobyuznać za rozsądne w świetle europejskich regulacji. Zobaczciezresztą sami:
- W wypadku kont uznanych zanależące do osób „niedorosłych”, wyświetlany jest komunikatdomagający się podania adresu e-mail rodzica lub jego niezwłocznegozalogowania. Jeśli ktoś ma akurat swojego „rodzica” pod ręką,może aktywować swoje konto, przelewając na swoje lub „dziecka”konto Microsoft całe 2,00 PLN. Pewnie nie chodzi tu o zarobieniemarnych dwóch złotych na użytkowniku, ale pozyskanie danych jegokarty kredytowej – karty prepaid nie są obsługiwane. Z drugiejstrony… miliony kont do zweryfikowania w całej Europie dają razemcałkiem fajną kwotę.img=2zlote
- Jeśli ktoś nie chce płacić lub nie posiada karty kredytowej, to będzie musiał… ujawnićjeszcze więcej danych. Microsoft pozwala bowiem alternatywnieuruchomić procedurę potwierdzenia wieku za pomocą skanu dowoduosobistego, paszportu lub prawa jazdy. Chce zrobionego smartfonemzdjęcia dokumentu i wysłania go na adres support.microsoft.com/age– gdzie czeka formularz *Żądanie weryfikacji wieku.Oprócz skanu dokumentu należy dostarczyć adres e-mail do kontaktunieskojarzony z kontem Microsoft wymagającym weryfikacji. Jakzapewnia Microsoft, odpowiedź zostanie udzielona w ciągu trzechdni.
- Jeśli jednak ktoś uważa, żejest dorosły i nie ma „rodziców” pod ręką, może skorzystaćz linku „Jestem osobą dorosła, dlaczego widzę ten komunikat?”Jego kliknięcie przekierowuje do formularza Potwierdź, żejesteś osobą dorosłą*, gdzienależy ustawić poprawną datę urodzenia. Niestety to nie wszystko.Tutaj też w kolejnym kroku czeka weryfikacja za pomocą kartykredytowej (należy podać wszystkie dane karty) – nie zostanie onaobciążona żadną opłatą. Jak można się domyślić, pozbawienikart kredytowych mają okazać Microsoftowi swoje dokumenty, tak jak w powyżej opisanym przypadku.
Wprowadzona proceduradoprowadziła już do niezłego zamieszania. Niebezpiecznikprzedstawiae-maila jednego ze swoich czytelników, skarżącego się, żeweryfikacja doprowadziła do paraliżu pracy w jego firmie. Podczasrejestracji kont pocztowych dla poszczególnych komputerów podanotam jako datę urodzenia datę założenia firmy – a że firmiebrakuje trochę do pełnoletności, nagle okazało się, że konto„rodzica” musi potwierdzić kilkadziesiąt kont „dzieci”.
Pozostaje też pytanie na ileprocedura Microsoftu jest legalna w świetle już obowiązującychpraw dotyczących przetwarzania danych osobowych. Na stronach firmy zRedmond nie udało się znaleźć nigdzie polityki dotyczącejprzechowywania skanów dokumentów. Wątpliwe jest też prawnieoczekiwanie od użytkowników ujawniania prywatnej firmie zbędnychjej danych zawartych na dowodach czy prawach jazdy. O wyjaśnienia wtej sprawie zwróciliśmy się do GIODO, gdyż oczywiście samMicrosoft w tej kwestii nie ma sobie nic do zarzucenia.
Warto podkreślić, że działaniate nie są wymierzone tylko przeciwko użytkownikom z Polski. Na tosamo skarżą się też np. Niemcy, od których w wypadku weryfikacjikonta „dziecka” pobiera się z karty kredytowej okrągłe 50eurocentów. W toczących się tam dyskusjach zauważa się również,że w świetle RODO (które w Niemczech zwie się DS-GVO), akonkretnie art. 5 punkt 1c, Microsoft nie może żądać niczego pozadatą urodzenia: wszystkie pozostałe dane na skanie mogą przezużytkownika zostać zamazane, albo przesłonięte odpowiednią maską.
Wymyślony przez Microsoftschemat uwierzytelniania kont „dzieci” ma też jeden zadziwiającybłąd, podważający całkowicie jego zasadność z perspektywylitery i ducha RODO. Otóż na żadnym etapie Microsoft nieweryfikuje tego, że osoba wyrażająca zgodę w imieniu dziecka jestfaktycznie jego prawnym opiekunem. Zgodę w ten sposób może wyrazićdowolna dorosła (dysponująca dokumentami lub kartą kredytową)osoba – tyle że zgoda ta jest prawnie bezwartościowa.
Nasza rada? Póki co nieprzekazujcie Microsoftowi żadnych danych poza wiekiem ze skanudokumentu. A jak tylko otrzymamy opinię GIODO, do sprawy wrócimy.