Приватність дітей в інтернеті: COPPA Rule, Age Appropriate Design Code та GDPR

У вересні 2023 року китайська мультимедійна платформа TikTok була оштрафована Ірландським наглядовим органом на суму 345 мільйонів євро. Цей великий штраф пов’язаний з обробкою даних дітей,  яка не відповідала вимогам GDPR. Зокрема, акаунти дітей були публічними за замовчуванням, функція “Family Pairing” дозволяла пов’язувати дитячі акаунти з акаунтами non-child users (які не були верифіковані як батьки чи опікуни дитини),  а також TikTok не виконував вимоги щодо прозорості.

Які висновки можна зробити з цього кейсу? 

На приватність дітей треба звертати особливу увагу, оскільки вони вважаються вразливою категорією,  а тому законодавство у сфері захисту персональних даних ставить певні додаткові вимоги до обробки даних дітей.

У цій статті ми проаналізуємо вимоги 3 важливих актів у сфері захисту персональних даних дітей – американський COPPA Rule,  британський Age Appropriate Design Code та європейський GDPR.

Розпочнемо з COPPA Rule

Children’s Online Privacy Protection Act (COPPA) Rule є доповненням до федерального закону в США, який розроблений для захисту прав дітей в інтернеті і надання батькам контролю за тим,  як збирається і використовується інформація про їхніх дітей.

COPPA Rule застосовується до операторів комерційних вебсайтів та онлайн сервісів (включно з мобільними застосунками та IoT (Internet of things) девайсами, такими як, наприклад, розумні іграшки), які свідомо можуть збирати чи збирають дані дітей з США.

Важливо: за COPPA дитиною вважається особа віком до 13 років. 

Ключовими вимогами COPPA Rule є:

• повідомити про збір даних про дітей;
• отримати згоду від батьків на збір і використання такої інформації; 
• надати батькам право переглянути інформацію, отриману від дитини.

Розглянемо детальніше кожну з вимог.

1. Повідомлення 

COPPA Rule зобов’язує оператора докласти розумних зусиль, щоб переконатись, що батьки дитини отримали пряме повідомлення про збір даних їх дитини перед початком такого збору. Таке повідомлення має бути простим, зрозуміло написаним, повним і не має містити не пов’язаних, заплутаних або суперечливих матеріалів.

Крім прямого повідомлення батькам, COPPA Rule також вимагає помістити таку інформацію на вебсайті оператора. На практиці,  це можна зробити у загальній політиці приватності, а повідомлення батьків можна об’єднати з отриманням їх згоди.

2. Згода батьків

COPPA Rule встановлює обов’язок оператора отримати згоду батьків перед будь-яким збором, використанням чи розкриттям інформації, отриманої від дітей. Також додаткову згоду потрібно отримувати у разі будь-яких значних змін у процесах, пов’язаних з цими даними. 

Як отримувати згоду?

Будь-який метод отримання згоди батьків має бути обґрунтовано розрахований на основі доступних технологій, щоб гарантувати, що особа, яка надає згоду, є батьком, матір’ю чи опікуном дитини.

COPPA Rule також містить перелік можливих способів отримання такої згоди:

1. надання форми згоди для підпису батьками та повернення оператору поштою, факсом або електронним сканом;
2. використання кредитної картки, дебетової картки чи іншої онлайн-платіжної системи;
3. дзвінок від батьків на спеціальну лінію;
4. отримання згоди через відеоконференцію;
5. проведення перевірки документів батьків з інформацією з бази даних, за умови видалення таких даних одразу після здійснення процедури.

Можна використовувати одночасно кілька методів,  наприклад, імейл і телефонні дзвінки. 

Також COPPA Rule надає можливість користуватись і іншими методами, за умови, що вони отримали схвалення від Federal Trade Commission (FTC) за safe harbor program. Важливо зазначити,  що тільки 2 нові методи були затверджені FTC за весь час існування програми: ідентифікація на основі знань та збіг обличчя з підтвердженим ідентифікацією фото.

3) Право батьків перевірити дані

COPPA Rule зобов’язує оператора надати батькам за їхнім запитом:

• опис категорій інформації, яка зібрана від дитини, зокрема ім’я, адреса,  номер телефону, імейл адреса, хобі чи позакласні активності;
• можливість в будь-який момент відмовитись від дозволу операторові в подальшому використовувати дані, зібрані від дитини, і запросити видалення таких даних;
• можливість перегляду даних, зібраних від дитини. 

Отже, COPPA Rule покладає на компанії певні обов’язки стосовно даних дітей віком до 13 років. Ці вимоги необхідно дотримуватись, оскільки за порушення акту FTC може накласти штраф, а особи, чиї права порушено, можуть звернутись до суду.

Age Appropriate Design Code

Age appropriate design code  (або Children’s code) – кодекс поведінки, затверджений британським регулятором ICO для захисту даних дітей онлайн. 

Кодекс застосовується до “information society services likely to be accessed by children” (ISS). Якщо діти ймовірно матимуть доступ до вашого застосунку,  сайту, гри чи розумних іграшок, то вам потрібно брати до уваги цей кодекс. При цьому, кодекс не застосовується до шкіл чи навчальних центрів, які обробляють дані дітей з навчальною метою, бо основною ознакою ISS є надання послуг за винагороду.

Children’s code застосовується до всіх компаній, які пропонують свої послуги дітям у Великій Британії,  незалежно від місця реєстрації компанії.

За кодексом дитиною вважається особа віком до 18 років.

Кодекс містить 15 стандартів,  яких мають дотримуватись організації, які можуть обробляти дані дітей.

1. Найкращі інтереси дитини 

Забезпечення найкращих інтересів дитини має бути пріоритетом, коли ви створюєте онлайн сервіси,  які ймовірно будуть доступні дітям.

2. Data protection impact assessments (DPIA)

Проведіть Оцінку впливу на захист даних для того, щоб оцінити і мінімізувати ризики для прав і свобод дітей.

3. Відповідність віку 

Використовуйте підхід, що ґрунтується на оцінці ризику, щоб розпізнавати вік окремих користувачів і забезпечувати ефективне застосування цих стандартів до дітей. Можна встановити мінімальний вік для користувачів або за замовчуванням застосовувати ці стандарти до всіх користувачів.

4. Прозорість 

Інформація, надана користувачам, має бути стислою, помітною і написаною зрозумілою мовою, що відповідає віку дитини. Також можна розмістити додаткові пояснення щодо того,  як використовуються дані дитини.

5. Не шкідливе використання даних 

Не використовуйте персональні дані дітей у спосіб, який завдає шкоди їхньому добробуту або суперечить галузевим кодексам практики, іншим нормативним положенням чи порадам уряду.

6. Політики та стандарти

Дотримуйтеся власних опублікованих умов використання, політик та стандартів спільноти (включаючи, але не обмежуючись політикою конфіденційності, віковими обмеженнями, правилами поведінки).

7. Налаштування за замовчуванням

У налаштуваннях за замовчуванням має бути встановлено «високий рівень конфіденційності».

8. Мінімізація даних 

Збирайте та зберігайте лише мінімальну кількість персональних даних, необхідних для надання елементів вашої послуги, в якій дитина активно та свідомо залучена. Дайте дітям окремий вибір, які елементи вони хочуть активувати.

9. Поширення даних 

 Не розкривайте дані дітей, якщо тільки  у вас немає обґрунтованої причини зробити це, беручи до уваги найкращі інтереси дитини.  

10. Геолокація

Параметри геолокації мають бути вимкнені за замовчуванням (якщо тільки ви не можете продемонструвати обґрунтовану причину для ввімкнення геолокації за замовчуванням, враховуючи найкращі інтереси дитини). Надавайте дітям очевидний знак, коли відстеження місцезнаходження активне. Наприкінці кожного сеансу параметри, які роблять місцезнаходження дитини видимим для інших, повинні бути вимкнені за замовчуванням.

11. Батьківський контроль 

Якщо у вашому застосунку присутня функція батьківського контролю,  надайте інформацію про це способом, який відповідає віку дитини. Також показуйте дитині зрозумілим для неї знаком, що її поведінка моніториться батьками. 

12. Профайлінг 

Профайлінг має бути виключеним за замовчуванням. Використовуйте профайлінг тільки, якщо ви вжили відповідних заходів, щоб захистити дитину від шкідливого впливу. 

13. Техніки підштовхування 

Не використовуйте методи підштовхування, щоб спонукати дітей надавати більше персональних даних, ніж потрібно, або вимкнути захист конфіденційності.

14. Під’єднані іграшки і девайси

Якщо ви надаєте дітям під’єднані іграшки чи пристрої, переконайтеся, що ви застосовуєте ефективні інструменти для забезпечення відповідності цьому кодексу.

15. Онлайн-інструменти 

Надайте помітні та доступні інструменти, які допоможуть дітям захистити свої дані  і повідомити про проблеми.

Отже, дотримання Age Appropriate Design Code важливо для всіх компаній,  доступ до послуг яких, можуть отримати діти з Великої Британії. Невідповідність нормам цього кодексу означає, що компанія також порушує принципи британського законодавства у сфері захисту даних,  а тому на неї може бути накладено штраф.

Детальніше про основні елементи обробки даних дітей відповідно до GDPR, читайте в нашій статті “Персональні дані дітей та GDPR compliance”.

Звертайтесь до Legal IT Group: ми радо вам допоможемо із забезпеченням відповідності COPPA Rule, GDPR та Age Appropriate Design Code!