Персональные данные детей и GDPR compliance.
У Вас появилась замечательная идея продавать игрушки (детские, само собой) в Интернете, и Вы такой амбициозный, что захотели выйти на европейский рынок? Может, Вы написали прекрасную игру, которую любят и дети, и взрослые, и захотели ее улучшить путем обработки персональных данных пользователей? Тогда не стоит забывать о GDPR compliance!
А почему мне стоит думать о GDPR compliance?
Если Ваша компания зарегистрирована в Европе, то GDPR — документ, без которого нельзя обойтись и функционировать на территории Европейского Союза. Более того, Вы обязаны подумать о GDPR даже в том случае, если Ваша клиентура или пользователи онлайн-ресурса — это лица, которые проживают на территории ЕС. И в этом случае, дети стран ЕС заслуживают более пристального внимания.
Какие положения GDPR регулируют обработку персональных данных детей?
Пункт 38 вступительной части GDPR гласит, что «дети заслуживают особой защиты в отношении своих личных данных, поскольку они могут быть менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Такая конкретная защита должна, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персональных данных или профилей пользователей и сбора персональных данных в отношении детей при использовании услуг, предоставляемых непосредственно ребенку.»
Кроме того, в пункте 75 вступительной части GDPR, где приведены дополнительные объяснения относительно рисков для прав и свобод лиц, конкретно упоминаются дети как уязвимые физические лица.
Защита персональных данных детей также регулируются статьей 8 GDPR. В частности, пункт 1 статьи 8 отмечает, что «в отношении предложения услуг информационного общества непосредственно ребенку обработка личных данных ребенка является законной, если ребенку исполнилось не менее 16 лет. Если ребенку не исполнилось 16 лет, такая обработка является законной только в том случае, если и в той степени, в которой согласие дается или разрешено держателем родительской ответственности над ребенком».
Самое главное касательно обработки персональных данных детей
- В отличие от других положений GDPR, услуги информационного общества — это такие услуги, предоставляемые в онлайн-режиме.
- Несовершеннолетние в целях ст. 8 GDPR — это дети до 16 лет. Однако GDPR позволяет странам-членам снизить этот минимальный возраст до 13 лет. Например, самый низкий возраст для личного согласия детей установили в странах Скандинавии, Великобритании и Польши, а самый высокий — в Германии, Хорватии и Италии.
- Пункт 1 статьи 8 применяется только в том случае, если предложение услуг информационного общества прямо, исключительно или преимущественно предоставляется детям. Можно привести три примера:
- Предложение делается на упрощенном, неофициальном языке для более легкого восприятия и усвоения детьми;
- Предложенные товары предназначены специально для детей, например, детская литература или товары для школы;
- Предложение прямо указывает на его ограничение детьми (например, в тексте предложения указано «только для детей»).
- Одной из правовых основ для обработки данных детей согласно GDPR является согласие. Итак, если вы продаете подросткам рингтоны, то личные данные, собранные во время совершения покупки (имя, фамилия, адрес, платежные реквизиты), будут необходимы «для выполнения контракта, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора»(ст. 6 ч. 1б).
Если вы используете другой законный способ как основу для обработки данных ребенка, вы должны учитывать такие факторы, как способность ребенка понимать и соглашаться на обработку, а также интересы и основные права ребенка. Кроме того, если вы ориентированы на детей старше 13 лет, вы должны написать четкие и соответствующие возрастные оповещения о соблюдении конфиденциальности, чтобы они поняли, на что они соглашаются.
Как настроить свой сайт и предоставления онлайн-услуг детям в соответствии с требованиями GDPR?
- Проанализируйте, могут положения GDPR относительно детей влиять на вашу организацию. Обязательно убедитесь в наличии возможных дополнительных национальных правил, касающихся защиты обработки персональных данных детей.
- Убедитесь, что у вас есть система, которая способна проверить возраст ребенка.
- Для услуг, предлагаемых непосредственно детям, убедитесь, что они сопровождаются четкой информацией, которую дети могут легко воспринять. Следует тщательно рассмотреть вопрос о том, чтобы T&Cs и политика конфиденциальности были написаны на языке, который помогает сделать осознанный выбор ребенка насчет обработки его данных. Это позволит ребенку принять оптимальное решение и взвесить, хочет ли он передавать свои личные данные взамен на доступ и взаимодействие с вашими продуктами и услугами. Отличным примером организации, которая прилагает усилия в этой области, является BBC с их политикой конфиденциальности Get Out and Grow.
- Убедитесь, что у вас есть возможность проверить, действительно ли кто-то является родителем ребенка, который желает воспользоваться вашими услугами (ниже описаны возможные пути для идентификации родителей).
- Охарактеризуйте родительские права в отношении данных о своем ребенке и процедуру, которую следует применять для осуществления этих прав.
- Предоставьте родителям доступ к личной информации своего ребенка для просмотра и / или удаления информации.
- Убедитесь, что вы храните личную информацию, собранную в Интернете от ребенка, только на тот период времени, пока это необходимо для выполнения целей, для которых она была собрана. Когда наличие таких данных больше не требуется, обязательно удалите информацию, применяя защитные меры для ее защиты от несанкционированного доступа или использования.
Как увериться, что именно родители дают согласие на обработку персональных данных?
На этот вопрос нет четко определенного ответа. Можно выделить различные методы идентификации личности и предоставления согласия, в частности:
- прислать копию паспорта или ID карты по электронной почте;
- прислать письмо, в котором родители разрешают проводить обработку персональных данных с их подписью по электронной почте;
- обрабатывать онлайн-заказ через кредитную карточку родителей;
- путем телефонного звонка родителям.
Все эти методы надежные, но на практике их трудно ввести, а еще труднее их соблюдать как родителям, так и детям. Поэтому в некоторых случаях можно применять хорошо известный метод double opt-in.
Что произойдет, если Вы не будете соблюдать требования GDPR?
Не соблюдая требований GDPR о согласии родителей на обработку персональных данных ребенка, Вы рискуете получить штраф в размере до 10 000 000 евро или до 2% от общего годового оборота компании (обычно избирается вариант, который больше по итоговой сумме). Поэтому советуем Вам позаботиться о персональных данных детей, а тем самым и о Вашем кошельке.