Prywatność dzieci wyzwaniem RODO

Biuro Komisarza ds. Informacji w Wielkiej Brytanii („ICO”) pracuje nad proponowanym „Projektem odpowiednim dla wieku” – obecnie w wersji roboczej. Trwają konsultacje z rodzicami, opiekunami i dziećmi w celu jego sfinalizowania. Kodeks dostarczy praktycznych wskazówek na temat standardów projektowych, których spełnienia będą oczekiwać dostawcy internetowych „usług społeczeństwa informacyjnego”, które przetwarzają dane osobowe i do których mają dostęp do dzieci. „Usługa społeczeństwa informacyjnego” jest definiowana, jako „każda usługa zwykle świadczona za wynagrodzeniem na odległość, za pomocą sprzętu elektronicznego do przetwarzania (w tym kompresji cyfrowej) i przechowywania danych oraz na indywidualne żądanie odbiorcy usługi” (Przepisy dotyczące handlu elektronicznego (dyrektywa WE) z 2002 r.). Przykłady obejmują sklepy internetowe, aplikacje, platformy mediów społecznościowych oraz usługi przesyłania strumieniowego i treści. ICO uważa, że ta definicja obejmuje większość usług online, nawet jeśli „wynagrodzenie” lub finansowanie usługi nie pochodzi bezpośrednio od użytkownika końcowego. Projekt ma zastosowanie, gdy dzieci mogą uzyskać dostęp do konkretnej usługi, nawet jeśli stanowią one tylko niewielką część ogólnej bazy użytkowników.

Projekt Kodeksu, dotyczący Naszych najmłodszych

Projekt Kodeksu zawiera 16 kumulatywnych i współzależnych standardów – do odpowiedniego wieku, w tym ustawienia powinny domyślnie zapewniać „wysoką prywatność”, a wszelkie zasady kontroli rodzicielskiej powinny być jasne dla dziecka. Wszystkie standardy muszą zostać wdrożone w celu wykazania zgodności z Projektem.

Pierwszym z 16 standardów jest to, że nadrzędnym interesem dziecka powinno być wzięcie pod uwagę, że „jest mało prawdopodobne, aby interesy handlowe organizacji przeważały nad prawem dziecka do prywatności”. Jest to odważne i radykalne oświadczenie, o których administratorzy danych powinni wiedzieć, i być może wskazuje na to, jak poważnie ICO stara się traktować prywatność dzieci. Niedopełnienie obowiązków administratora danych wobec dzieci z obawy przed zagrożeniem interesów handlowych – ponieważ zbyt trudno jest otworzyć czarną skrzynkę z działaniami związanymi z przetwarzaniem – prawdopodobnie nie będzie uzasadnionym interesem.

Projekt Kodeksu ma zostać opublikowany do końca 2019 r. Zgodnie z nim Komisarz ds. Informacji musi, wykonując swoje funkcje regulacyjne, wziąć pod uwagę wszelkie jego przepisy. Projekt Kodeksu może być również przedłożony, jako dowód w postępowaniu sądowym, a sądy muszą go rozważyć w stosownych przypadkach. Administratorzy danych, którzy ignorują swoje zobowiązania wobec młodych osób, których dane dotyczą, mogą ostatecznie wezwać ICO do podjęcia działań regulacyjnych.

Raport brytyjskiego komisarza ds. Dzieci pt. „Kto wie, co ze mną?”. Wykazał, że dzieci w wieku od 11 do 16 lat publikują w mediach społecznościowych średnio 26 razy dziennie – jeśli będą kontynuować w tym samym tempie, będzie to prawie 70 000 postów w wieku 18 lat. To ogromna ilość danych, które dzieci potencjalnie nieświadomie zarówno czerpią jak i wysyłają z mediów społecznościowych. Administratorzy danych muszą zatem dysponować systemami i procesami, które pozwolą im regularnie informować młode osoby, których dane dotyczą, o działaniach związanych z przetwarzaniem danych oraz umożliwić im zmianę, a nawet usunięcie ich śladu cyfrowego.

Jeśli mamy zgodę dzieci – czy wszystko załatwione?

Brytyjska ustawa o ochronie danych z 2018 r. stanowi, że jeśli opiera się na zgodzie w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku, dziecko musi mieć co najmniej 13 lat, aby jego zgoda była ważna. Wiek, w którym dziecko może wyrazić zgodę, może różnić się w poszczególnych krajach członkowskich Unii Europejskiej.

Jeżeli dziecko wyraża zgodę, należy wziąć pod uwagę kompetencje dziecka tj. czy dziecko jest w stanie zrozumieć zakres przetwarzania danych oraz konsekwencje gromadzenia i przetwarzania danych). Prawdopodobnie jest mało realne, aby zgoda była skuteczna w przypadku, gdy dzieciom przedstawiane są złożone informacje, lub gdy dzieci nie są w stanie udzielić lub odmówić zgody i nadal otrzymywać żądane usługi.
Firmy muszą wdrożyć odpowiednie kroki, aby zweryfikować wiek dziecka wyrażającego zgodę. Dokładny wiek nie musi być potwierdzony, wystarczy, że dziecko jest wystarczająco duże, aby wyrazić swoją zgodę. Projekt Kodeksu wyraźnie stwierdza, że poproszenie dziecka o samodzielne zadeklarowanie swojego wieku lub przedziału wiekowego nie będzie stanowić solidnego mechanizmu weryfikacji wieku, a firmy muszą być w stanie wykazać, że dzieci nie mogą łatwo ominąć kontroli wieku. Firmy będą zatem musiały wdrożyć zaawansowane rozwiązania technologiczne, aby odpowiednio dokładnie określić wiek dzieci.

ICO zaleca, aby firmy rozważyły stopień ryzyka, jakie gromadzenie lub wykorzystanie danych osobowych stanowi dla dziecka lub innych osób. Tam, gdzie ryzyko jest niskie i od dziecka zbierane są minimalne informacje – np. adres e-mail, aby zarejestrować się w celu otrzymywania biuletynu – wówczas prośba o zaznaczenie pola wyboru w celu potwierdzenia zgody rodziców lub jego wieku może być wystarczająca. Jeśli jednak mają miejsce bardziej inwazyjne działania związane z przetwarzaniem danych – np. dziecko publikuje dane osobowe w niemonitorowanym pokoju czatowym – ICO stwierdza, że konieczne będzie sprawdzenie, czy dziecko jest wystarczająco duże, aby wyrazić zgodę lub sprawdzić tożsamość osoby ubiegającej się o władzę rodzicielską i potwierdzenie relacji między tą osobą, a dzieckiem.

Zadania, które muszą spełnić administratorzy danych

Ponadto administratorzy muszą być w stanie wykazać, że zgoda na konkretną mającą miejsce operację przetwarzania została „dobrowolnie udzielona, konkretna, poinformowana i jednoznaczna”. Dlatego też wyzwanie dla administratorów danych oferujących usługi dla dzieci, polega na jasnym i prostym komunikowaniu zakresu czynności przetwarzania w sposób zrozumiały dla dzieci. Dzieci mogą, w stosownych przypadkach, wyrazić zgodę na gromadzenie danych i sposób ich wykorzystania, a także zrozumieć konsekwencje wyrażenia zgody, w tym wszelkie związane z tym ryzyko przetwarzania.

Nawet, jeśli administratorzy danych nie polegają na zgodzie osób, których dane dotyczą, na ich działania związane z przetwarzaniem danych polegają na innej zgodnej z prawem podstawie przetwarzania, administratorzy danych muszą nadal przekazywać określone informacje osobom, których dane dotyczą. Informacje te muszą być zgodne z art. 12 RODO, który zobowiązuje administratorów do dostarczania informacji użytkownikom w „zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka, w szczególności w przypadku wszelkich informacji skierowanych konkretnie do dziecka”. Oczywiście nie jest to całkowicie nowy wymóg – poprzedni system ochrony danych również go narzucił, choć w mniej wyraźny sposób. Motyw 58 RODO zawiera dalsze wytyczne: „wszelkie informacje i komunikacja, w przypadku, gdy przetwarzanie jest skierowane do dziecka, powinien być w tak jasnym i prostym języku, aby dziecko mogło go łatwo zrozumieć ”. Dostarczone informacje powinny pomóc dzieciom lub ich rodzicom w podejmowaniu właściwie świadomych decyzji dotyczących tego, czy dostarczyć informacje wymagane do uzyskania dostępu do usługi i dalszego korzystania z niej.

W każdych okolicznościach, niezależnie od tego, czy administratorzy danych polegają na zgodzie dzieci na działania związane z przetwarzaniem danych, administratorzy muszą poinformować o swoim zamierzonym wykorzystaniu danych dzieci w jasny i zrozumiały sposób oraz nie mogą wykorzystywać braku równowagi między nimi a dziećmi. Projekt Kodeksu zaleca kontrolerom przeprowadzenie testów użytkownika, aby upewnić się, że informacje są dostarczane wystarczająco jasno dla danego przedziału wiekowego.

Ponadto biała księga Ministerstwa Spraw Wewnętrznych na temat szkód w Internecie zaleca, aby proponowany, niezależny organ regulacyjny wprowadził kodeks postępowania, który określa między innymi wskazówki dotyczące tego, jak zapewnić, aby warunki użytkowania były odpowiednie i zrozumiałe dla użytkowników przy rejestracji do usługi. Jest zatem jasne, że wymóg przejrzystości pozostanie kluczowym obowiązkiem, do którego administratorzy danych muszą się stosować.

Czy słyszałeś o naruszeniu RODO, które polegało na tym, że ING Bank naliczał podwójnie operacje płatnicze?

Gratulacje! Z dnia na dzień zdobywasz coraz więcej informacji na temat ochrony danych. Dzisiaj zobacz, w jaki sposób program do RODO, mógłby zaoszczędzić Ci godziny pracy. Zarejestruj konto i wypróbuj zupełnie za darmo!