Персональні дані дітей та GDPR compliance.

У Вас з’явилася чудова ідея продавати іграшки (дитячі) в Інтернеті, і Ви такий амбіційний, що захотіли вийти на європейський ринок? Може, Ви написали чудову гру, яку люблять і діти, і дорослі, а Ви захотіли її покращити шляхом обробки персональних даних користувачів? Тоді не варто забувати про GDPR compliance!  

А чому мені варто думати про GDPR compliance?

Якщо Ваша компанія зареєстрована в Європі, то GDPR – документ, без якого не можна обійтись і функціонувати на території Європейського Союзу. Більш того, Ви зобов’язані подумати про GDPR навіть у тому випадку, якщо Ваша клієнтура або користувачі онлайн-ресурсу – це особи, які проживають на його території. І у цьому випадку, діти країн ЄС заслуговують більш пильної уваги.

Які положення GDPR регулюють обробку персональних даних дітей?

Пункт 38 вступної частини GDPR визнає, що “діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині”.

Крім того, в пункті 75 вступної частини GDPR, де подано додаткові пояснення щодо ризиків для прав та свобод осіб, конкретно згадуються діти як вразливі фізичні особи.

Персональні дані дітей також регулюються статтею 8 GDPR. Зокрема, пункт 1 статті 8 зазначає, що «у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини».

Найголовніше щодо обробки персональних даних дітей

1. На відміну від інших положень GDPR, послуги інформаційного суспільства – це такі послуги, що надаються в онлайн-режимі.
2. “Неповнолітні” для цілей ст. 8 GDPR – це діти до 16 років. Однак GDPR дозволяє країнам-членам знизити цей мінімальний вік до 13 років. Наприклад, найнижчий вік для особистої згоди дітей встановили у країнах Скандинавії, Великобританії і Польщі, а найвищий – у Німеччині, Хорватії та Італії.
3. Пункт 1 статті 8 застосовується тільки у тому випадку, якщо пропозиція послуг інформаційного суспільства прямо, виключно або переважно надається дітям. Можна навести три приклади:

1) Пропозиція робиться спрощеною, неофіційною мовою для легшого сприйняття і засвоєння дітьми;

2) Запропоновані товари призначені спеціально для дітей, як-от дитяча література або товари для школи;

3)  Пропозиція прямо вказує на обмеження дітьми (наприклад, в тексті пропозиції вказано «тільки для дітей»).

4. Однією із правових основ для обробки даних дітей згідно із GDPR є згода. Отже, якщо ви продаєте мелодії дзвінка підліткам для своїх смартфонів, особисті дані, зібрані під час здійснення покупки (ім’я, прізвище, електронна адреса, платіжні реквізити), будуть “необхідними для виконання контракту, стороною якого є суб’єкт даних, або для вжиття дій на запит суб’єкта даних до укладення договору” (ст. 6 ч. 1 літ. б).

Якщо ви використовуєте інший законний спосіб як основу для обробки даних дитини, ви повинні враховувати такі фактори, як здатність дитини розуміти та погоджуватися на обробку, а також інтереси та основні права дитини. Крім того, якщо ви орієнтовані на дітей старше 13 років, ви повинні написати чіткі та відповідні вікові повідомлення про конфіденційність, щоб вони зрозуміли, на що вони погоджуються.

Як налаштувати свій сайт та надання онлайн-послуг дітям згідно з вимогами GDPR?

1. Проаналізуйте, чи можуть положення GDPR щодо дітей впливати на вашу організацію. Обов’язково переконайтеся, що ви знаєте, чи існують додаткові національні правила, які стосуються вас.
2. Переконайтесь, що у вас є система, яка здатна перевірити вік дитини.
3. Для послуг, пропонованих безпосередньо дітям, переконайтеся, що вони супроводжуються чіткою інформацією, яку діти легко зрозуміють. Слід ретельно розглянути питання про те, щоб T&Cs та політика конфіденційності були написані мовою, яку дитина може зрозуміти і допомагає зробити свідомий вибір. Це дозволить дитині прийняти оптимальне рішення і зважити, чи хоче вона передавати свої особисті дані взамін на доступ та взаємодію з вашими продуктами та послугами. Чудовим прикладом організації, яка докладає зусиль у цій галузі, є BBC із їхньою політикою конфіденційності Get Out and Grow.
4. Переконайтесь, що у вас є заходи для перевірки того, чи дійсно хтось є батьком дитини, яка бажає скористатися вашими послугами (нижче описані можливі шляхи для ідентифікації батьків).
5. Охарактеризуйте батьківські права стосовно даних про свою дитину та процедури, які слід застосовувати для здійснення цих прав.
6. Надайте батькам доступ до особистої інформації своєї дитини для перегляду та / або видалення інформації.
7. Переконайтеся, що ви зберігаєте особисту інформацію, зібрану в Інтернеті від дитини, лише на той час, поки це необхідно для виконання мети, для якої вона була зібрана. Коли це більше не потрібно, обов’язково видаліть інформацію, застосовуючи захисні заходи для захисту від її несанкціонованого доступу чи використання.
   
   

Як запевнитися, що саме батьки дають згоду на обробку персональних даних?

На це питання немає чітко визначеної відповіді. Можна виділити різні методи ідентифікації особи та надання згоди, зокрема:

• надіслати копію паспорта або ID карти особи електронною поштою;
• надіслати лист, у якому батьки дозволяють обробку персональних даних з їхнім підписом також електронною поштою;
• обробляти онлайн-замовлення через кредитну картку батьків;
• шляхом телефонного дзвінка батькам.

Усі ці методи надійні, але на практиці їх важко запровадити, а ще важче їх дотримуватися як батькам, так і дітям. Тому у деяких випадках можна застосовувати добре відомий метод double opt-in.

Що станеться, якщо Ви не будете дотримуватися вимог GDPR?

Не дотримуючись вимог GDPR щодо згоди батьків на обробку персональних даних дитини, Ви ризикуєте отримати  штраф у розмірі до 10 000 000 євро або до 2% від загального річного обороту компанії (зазвичай обирається варіант, який більше за розмірами). Тому радимо Вам потурбуватися про персональні дані дітей, а також про Ваш гаманець.