Microsoft żąda od Polaków 2 złotych albo skanu dowodu. Czyli mroczna strona przygotowań do wejścia RODO/GDPR

Nowe unijne rozporządzenie o ochronie danych (RODO) ma ograniczyć zbieranie niepotrzebnych danych na nasz temat przez firmy, które świadczą nam różne usługi. Niestety, paradoksalnie, dla niektórych firm RODO stało się okazją do zbierania nowych danych albo pozyskiwania nowych zgód. Kilka tygodni temu opisywaliśmy sprytne pismo od Taurona, a teraz okazuje się, że na dodatkowe dane (i pieniądze!) połakomił się również Microsoft. Firma kilka dni temu uruchomiła dość irytującą weryfikację wieku swoich użytkowników.

Dzieciaku! RODO i ciebie dotyczy!

Jeśli choć pobieżnie czytaliście RODO to wiecie, że artykuł 8 rozporządzenia reguluje udzielanie przez dzieci zgody na przetwarzanie danych. Rozporządzenie mówi:

Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Państwa członkowskie mogą obniżyć ten próg do 13 lat i Ministerstwo Cyfryzacji deklarowało, że tak będzie w Polsce. Tak czy owak różne firmy w ramach dostosowań do RODO powinny dać rodzicom możliwość wyrażenia zgody na przetwarzanie danych dzieci. Co więcej, firmy powinny zweryfikować wiek, gdyż jak mówi RODO…

W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Microsoft zastosował pewne starania, ale czy “rozsądne”? Sami się przekonajcie.

“Potrzebujesz pozwolenia rodzica”

Niektórzy z naszych Czytelników, będący dorosłymi użytkownikami Skype, podczas zakładania konta nie ustawili daty urodzenia. I teraz przy próbie zalogowania się na swoje konto nieoczekiwanie widzą taki komunikat:

Jeśli ktoś jest dorosły może kliknąć w linka na dole. Zobaczy wówczas informację o potrzebie potwierdzenia swojej pełnoletniości. Najpierw trzeba podać datę urodzenia…

…później trzeba dokonać weryfikacji. Można to zrobić za pomocą karty płatniczej.

Nie masz karty płatniczej? To wyskakuj ze skanu dowodu

Metodą alternatywną jest skorzystanie ze wskazówek podanych na stronie pomocy, co oznacza konieczność przesłania zdjęcia dokumentu identyfikacyjnego (dowodu, prawa jazdy lub paszportu).

Co prawda przesyłanie odbywa się przez stronę Microsoftu (całe szczęście nie przez jakiś zwykły e-mail), niemniej wielu naszych Czytelników nie czuje się dobrze z wysyłaniem kopii dowodu do Microsoftu. I bardzo nas to cieszy — zawsze.

O dowód trzeba dbać i nie ma tu nic do rzeczy to, czy ktoś postrzega producenta Windowsa jako firmę godną zaufania czy nie. Czym grozi “szastanie” zdjęciami swojego dowodu na prawo i lewo opisywaliśmy w szczegółach w artykułach pt. ktoś wziął pożyczkę na moje dane i muszę spłacić 20 000 PLN oraz co zrobić jeśli oszust weźmie pożyczkę na twoje dane.

Jak 14 kwietnia napisał nam jeden z Czytelników:

dziś komputer z Windowsem 10 bardzo długo się aktualizował, następnie Skype stwierdził, że mam poprosić rodziców o zgodę, a mam 60 lat… Po przeniesieniu się na stronę account.microsoft.com Microsoft zażądał kompletu danych z karty kredytowej, jaki może służyć do pobierania opłat. Alternatywą miał być skan dowodu osobistego. Microsoftowi mniej ufam niż bankom, więc czy jedynym wyjściem będzie przejście na Linuxa? Bo skanu dowodu ode mnie nie dostaną, jak chcą mnie weryfikować, mają mój numer telefonu, albo adres e-mail, ewentualnie mogę przesłać skan mandatu za wykroczenie drogowe, bo tu funkcjonariusz sprawdził, że mam dowód i prawo jazdy;)

Inna Czytelniczka dodaje:

firma Microsoft obsługująca pocztę elektroniczną Outlook, podczas logowania wyświetla komunikat o konieczności uzyskania zgody rodziców i zweryfikowania swojego wieku (…) W mojej ocenie praktyki Microsoft są sprzeczne z prawem. Od wielu lat GIODO stoi na stanowisku, iż firmy nie mogą przetwarzać wizerunku, wzrostu, koloru oczu, adresu zameldowania, numeru prawa jazdy, kategorii prawa jazdy czy daty wydania i ważności dokumentu. Wszystkie te informacje znajdują się na dowodzie tożsamości lub prawie jazdy. Tym samym firmy nie mogą żądać skanu dowodu lub innych dokumentów, gdyż zawiera on te dane. Zaproponowałam ewentualne złożenie oświadczenia o pełnoleności, ale nie dostałam odpowiedzi w tym przedmiocie. Support Microsoft oczywiście nie chce rozwiązać sytuacji i twierdzi, iż ich weryfikacja jest zgodna z prawem.

A może starzy kopsną Ci 2 złote?

Jeśli żadna z powyższych metod weryfikacji wieku Wam nie odpowiada, zawsze możecie aktywować swoje konto przez “konto rodzica”. Niestety zweryfikowanie czyjegoś konta za pomocą konta rodzica nie jest całkiem darmowe. Z konta rodzica zostanie pobrana kwota 2 zł.

Nikt nie chce płacić 2 zł za weryfikację. Nie dlatego, że to duża kwota. Chodzi raczej o zasadę i może również o to, że płacąc kartą oddajemy Microsoftowi kolejne dane (to gdzie mamy konto oraz jaki numer karty posiadamy — te dane, a zwłaszcza unikatowy numer karty wielu firmom służy do budowania profilu klienta, brokerzy danych zestawiają dane płatnicze z różnych źródeł i wskazują, gdzie jeszcze daną kartą kupowano usługi. Trochę na ten temat mówiliśmy w 2 odcinku naszego niebezpiecznikowego podcastu pt. “Na Podsłuchu”).

“Microsoft sparaliżował pracę w naszej firmie”

Ciekawym efektem ubocznym takiego podejścia Microsoftu do GDPR/RODO jest to, co dotknęło jednego z naszych czytelników:

W naszej firmie, cała ta akcja Microsoft stworzyła niemały problem. Microsoft już od premiery Office 2013 rzuca kłody pod nogi małym i średnim firmom, które wybrały licencjonowanie kluczami PKC, dwukrotnie tańszymi od MOLPa i permanentnymi w przeciwieństwie do subskrypcji O365. By nie pogubić się z licencjami, które wymagają aktywacji w portalu Live, rejestrowaliśmy Office’y na wygenerowanie zgodnie z oznaczeniem inwentarzowym, konta pocztowe komputerów. Gdy od pewnego czasu Microsoft zażyczył sobie podawania wieku, w kontach podawaliśmy datę założenia firmy, której jeszcze trochę brakuje do pełnoletności. No i teraz okazuje się, że mamy problem, bo “rodzic” musi potwierdzić kilkadziesiąt kont “dzieci”.

Dodajmy jeszcze informację dla “cwaniaków”: zmiana daty urodzenia w profilu Skype nie spowoduje ominięcia weryfikacji.

Co na to Microsoft?

Oczywiście zwróciliśmy się z prośbą o komentarz do Microsoftu. Jego rzeczniczka Joanna Frąckowiak przyznała, że

“Microsoft wdraża wymagania dotyczące zgody rodzicielskiej w całej Unii Europejskiej, aby spełnić nowe wymagania RODO (GDPR), które wejdą w życie w maju tego roku”

Rzeczniczka wskazała nam wpis Julie Brill na temat zgód rodzicielskich zgodnych z RODO (czyli GDPR) z którego dowiemy się, że Microsoft wprowadził w Europie standardy wypracowane wcześniej na potrzeby prawa amerykańskiego (tzw. COPPA). Microsoft podesłał nam również strony pomocy, które dotyczyły kont dla dzieci oraz weryfikacji wieku. Na pierwszej z tych stron znajdziemy pytanie, które nurtuje niejedną osobę.

Why does Microsoft charge a small fee as part of the consent process for a child account?

Microsoft takes steps to verify that an adult is giving a child permission to use a Microsoft account. One of the commonly used methods that’s approved under regulation is to charge a small nonrefundable fee to a credit card. You can deposit the fee into your Microsoft account or your child’s new Microsoft account, and don’t worry, the credit card will not be added to your child’s account.

Jeśli przetłumaczymy tę odpowiedź z PR-owego angielskiego na zwykły polski to otrzymamy mniej więcej coś takiego: “Tak zrobiliśmy i nie możesz z tym dyskutować. Pocieszymy Cię tym, że Twoje potomstwo nie będzie mogło do woli rżnąć kasy z Twojej karty. Ciesz się.” Microsoft ostrzega też, że zgoda rodzica może nie być uznana gdy:

  • Konto dziecka ma ustawiony inny region niż konto rodzica.
  • Rodzic próbuje wyrazić zgodę za pomocą innego konta, niż wcześniej używane do zarządzania kontem dziecka.
  • Dziecko ma już zgodę wyrażoną przez inną osobę, z innego konta.

Niestety czytając informację na stronach Microsoftu trudno ustalić czy np. kopia dowodu osobistego będzie przechowywana przez Microsoft po zakończeniu weryfikacji. Pytaliśmy o to Joannę Frąckowiak, ale na to pytanie odpowiedzi nie otrzymaliśmy. Z tego co widzimy, Microsoft potrzebuje informacji o dacie urodzenia więc teoretycznie nie powinno być problemu, jeśli ktoś zamaże PESEL czy numer dowodu. Czy jednak zamazany plik zostanie uznany? Nie wiemy. Ponowiliśmy to pytanie i czekamy na odpowiedź.

Jeśli komuś z Was udało się przejść kontrolę Microsoftu z zamazanym dokumentem, dajcie znać w komentarzach jaki to był dokument i jakie dane na nim pozostawiliście a jakie zamazaliście. Pamiętajcie tylko, aby dane zamazywać w poprawny, nieodwracalny sposób i czyścić metadane ze zdjęć/skanów przed ich wysłaniem na serwery Microsoftu.

Denerwujące, ale może konieczne?

Co chyba najgorsze, wyrażanie zgody może potrwać. Microsoft na swoich stronach ostrzega, że np. po przesłaniu dowodu tożsamości należy oczekiwać e-maila, który może zawierać dodatkowe informacje. Wiadomość może przyjść nawet po trzech dniach. Jeśli więc musicie szybko zweryfikować swój wiek, może to oznaczać koszt 2 zł i przekazanie Microsoftowi informacji o swojej karcie płatniczej.

Czy Microsoft powinien to robić w taki sposób? Udzielenie odpowiedzi wymagałoby dyskusji na temat tego jak rozumieć “rozsądne starania”. Z jednej strony chodzi o to, aby dziecko nie wyrażało pochopnie zgody na przetwarzanie jego danych i to samo w sobie nie jest złe. Z drugiej strony możliwe jest przeprowadzenie weryfikacją kartą bez pobierania opłaty, choć w takich przypadkach z pomocą mogłyby przyjść dzieciom serwisy generujące dane kartowe do celu weryfikacji. Z trzeciej strony – weryfikacja jest przeprowadzana na podstawie dat urodzenia, które zostały podane wcześniej niekoniecznie zgodnie z prawdą. Nic więc dziwnego, że użytkownicy odbierają to wszystko jako niemiłe utrudnienie.

BONUS: a tak dzięki GDPR/RODO wkurzysz swojego kolegę

Nauczka dotycząca takich praktyk Microsoftu jest prosta. Podczas rejestracji konta na “lewe” dane podawaj zawsze taką datę urodzenia, aby twoje konto było “pełnoletnie”. A jak chcesz komuś ze znajomych, który się nie wylogował na komputerze i zostawił go przy Tobie, zrobić psikusa, to zmień mu w ustawieniach datę urodzenia na “niepełnoletnią”, poniżej 13 roku życia. Facebook, Google i Microsoft zablokują takie konto do czasu osiągnięcia pełnoletności. I śmiechom nie będzie końca…

PS. O tym jak zachować anonimowość i poufność komunikacji w internecie mówimy na naszym wykładzie “Jak nie dać się zhackować“, który niebawem odbędzie się w Krakowie(14 maja), Łodzi (16 maja), Warszawie (17 maja), Gdańsku (23 maja) i Wrocławiu (11 lipca). Nie tylko wskazujemy jaki sprzęt i oprogramowanie są obecnie najbezpieczniejsze i “nie do podsłuchania”, ale pokazujemy także jak obchodzić wymóg podawania numeru telefonu czy niekiedy także karty płatniczej lub PESEL-u tak, aby ominąć “wymagane” podczas rejestracji pola i spokojnie i anonimowo korzystać m.in. z takich serwisów jak Znany Lekarz, Paczkomaty, itp. Bo dane z różnych firm wyciekają, więc warto dbać o swoją tożsamość w sieci — adres zamieszkania i PESEL zazwyczaj ciężko jest zmienić… Na nasz wykład zarejestrować możesz się tutaj.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *