Получение родительского согласия на обработку персональных данных детей в Европейском Союзе и Соединенных Штатах Америки
- 16 февраля, 2024
- Законодательства
Автор: Владислав Варт, младший консультант
Одна из задач, которую ставит перед собой любой законодатель при разработке правового регулирования – защитить наиболее уязвимых участников правоотношений. Причиной уязвимости может быть неравенство сторон внутри правоотношения (одна из сторон имеет больше полномочий чем вторая, например, в отношениях между работодателем и работником), либо из личностных характеристик одной из сторон (возраст, дееспособность и т. д.). Дети относятся ко второму случаю. В силу своего возраста они зачастую не способны осознать важность и ценность приватности и оставляемой ими в сети Интернет информации. Именно поэтому во многих юрисдикциях закрепляются нормы, которые, во-первых, повышают уровень защиты персональных данных детей, а во-вторых – дают дополнительные полномочия родителям по контролю над данными их детей.
В статье проанализированы основные подходы по защите персональных данных детей, использующиеся в Европейском Союзе (далее – «ЕС») и Соединенных Штатах Америки (далее – «США»).
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Соединенные Штаты Америки
В США актом, призванным защитить персональные данные детей, является Children’s Online Privacy Protection Act («Закон о защите конфиденциальности детей в Интернете», далее – «COPPA»). COPPA является федеральным законом и действует на всей территории страны, регулируя обработку персональных данных детей в Интернете в возрасте младше 13 лет.
Еще до начала обработки любых персональных данных ребенка необходимо получить родительское согласие (parental consent). При этом согласие необходимо получить независимо от того, какое правовое основание у такой обработки. Процесс получения родительского согласия можно разделить на два основных этапа: уведомление родителей о намерении обрабатывать персональные данные ребенка и непосредственное получение согласия.
Первый этап урегулирован в ст. 312.4 COPPA и называется «direct notice to the parent». Лицо, которое собирается обрабатывать персональные данные ребенка, обязано направить родителю уведомление. COPPA устанавливает минимальный объем информации, которую такое уведомление должно содержать. Из нормы видно, что уведомление носит, прежде всего, информационный характер, призванный объяснить родителю, какие данные ребенка будут обрабатываться и зачем нужна эта обработка. Так, уведомление должно содержать информацию о категориях обрабатываемых данных и возможность раскрытия или передачи этих данных третьим лицам, ссылку (или иной путь) к общей политике приватности обработчика, а также сообщение для родителя о праве в любой момент отозвать согласие на обработку. Уведомление зачастую направляется на электронную почту родителей, однако встречаются случаи, когда оно публикуется на сайте обработчика (пример такого сайта): такая практика допустима, однако в этом случае уведомление должно быть размещено на сайте так, чтобы родитель не мог его не увидеть (на приведенном в качестве примера сайте уведомление появляется в качестве всплывающего окна при попытке зарегистрироваться). То есть, просто добавить уведомление в политику приватности недостаточно, так как на обработчика возлагается обязанность применять разумные технические меры для того, чтобы родитель получил уведомление. Отсутствие таких мер и расположение уведомления где-нибудь в конце политики приватности является нарушением обязанности по направлению уведомления родителю (решение по делу USA vs. Epic Games Corporation, 5:22-cv-00518-BO-RN). Стоит также отметить, что отсутствие уведомления может вести как к недействительности родительского согласия, так и быть самостоятельным нарушением COPPA и основанием для ответственности (решение по делу USA vs. Microsoft Corporation, U.S., 2:23-cv-00836-RAJ).
Второй этап – непосредственное получение согласия – может выполняться одновременно с первым, если согласие на обработку запрашивается внутри уведомления. Однако запросить согласие можно и отдельно от уведомления. Это зависит от выбранного способа получения согласия. COPPA устанавливает шесть способов получения согласия, наиболее удобными представляются следующие:
📎 если имеет место денежная транзакция, то можно запросить у родителя использовать его карту (кредитную или дебетовую);
📎 «электронная почта плюс» – в этом случае обработчик просит родителя (в прямом уведомлении, отправленном на электронную почту родителя) подтвердить свое согласие в ответном сообщении. Для правильного использования метода «электронная почта плюс» обработчику необходимо совершить дополнительный подтверждающий шаг после получения сообщения от родителя. Подтверждающий шаг может иметь разные формы:
— родителя могут попросить указать в ответном сообщении номер телефона, факса или почтовый адрес, чтобы впоследствии позвонить, отправить факс или письмо родителю;
— после разумной задержки родителю могут отправить еще одно сообщение (используя) контактную информацию родителя в Интернете для подтверждения согласия. В этом подтверждающем сообщении следует указать всю исходную информацию, содержащуюся в уведомлении, проинформировать родителя о том, что он может отозвать свое согласие, и сообщить ему, как это сделать.
Остальные способы (связь по видеоконференции с родителем, отправка формы согласия по почте и т.д.) являются менее удобными и гораздо реже применяются в современных реалиях. При этом список не является закрытым. Законодательство позволяет любому частному лицу разработать свой способ получения согласия и после утвердить его в надзорном органе Federal Trade Commission (Федеральная торговая комиссия, далее – «FTC»). Если такой способ будет утвержден, то пользоваться им могут любые другие обработчики. Так, FTC утвердила «knowledge-based authentication» – метод, который представляет собой ряд вопросов, ответить на которые способны только взрослые лица. Метод позволяет не только получить согласие, но и дополнительно верифицировать возраст пользователя.
После получения действительного родительского согласия можно приступать к обработке персональных данных детей. При этом в случае существенных изменений в обработке (изменились категории данных или цель обработки) согласие необходимо получать повторно.
Подписывайтесь на рассылку
Data Privacy Office
Европейский союз (Европейская экономическая зона)
В европейской юридической доктрине активно применяется понятие «возраст цифрового согласия», означающее возраст, по достижении которого несовершеннолетний может самостоятельно давать согласие на обработку своих персональных данных, а до достижения этого возраста требуется получать родительское согласие. В отличие от COPPA европейский закон требует получать родительское согласие только в том случае, если правовым основанием обработки является согласие (consent), для обработки по другим правовым основаниям родительское согласие не требуется. Ст. 8 General Data Protection Regulation («Общий регламент защиты персональных данных», далее – «GDPR») устанавливает 16 лет в качестве возраста цифрового согласия, однако GDPR оставляет за государствами-членами по своему усмотрению менять границу возраста цифрового согласия в диапазоне от 13 до 16 лет (так, в Испании это 13 лет, во Франции – 15, а в Германии – 16).
GDPR и сопутствующие акты не устанавливают конкретных способов получения родительского согласия. Европейский регламент и в этом вопросе продолжает следовать риск-ориентированному подходу. Контролер вправе сам установить способ получения согласия, однако на нем лежит обязанность принять достаточные меры, чтобы убедиться, что согласие дает именно родитель (или иной законный представитель) ребенка (см. абзац 144 Руководства 05/2020 о согласии в соответствии с Регламентом 2016/679 (Guidelines 05/2020 on consent under Regulation 2016/679)). Если обработка не связана с высоким риском для приватности ребенка, то достаточно получения согласия с электронной почты родителя. Если же риски есть, то необходимо предпринять гораздо больше усилий, чтобы убедиться, что согласие дает именно родитель. Европейский надзорный орган European Data Privacy Board (Европейский совет по защите персональных данных, далее – «EDPB») рекомендует в таком случае следующий порядок действий:
- уточнить у пользователя, достиг ли он требуемого возраста,
- если пользователь заявляет, что он младше, то провайдер сервиса уведомляет его о необходимости обратиться к родителю (законному представителю) за согласием, для этого потребуется предоставить адрес электронной почты родителя (законного представителя),
- провайдер сервиса связывается с родителем (законным представителем) по указанному адресу, чтобы получить согласие на использование сервиса ребенком.
Проведение денежной транзакции через банковскую карту также признается достаточной мерой, чтобы убедиться, что согласие дается именно родителем.
После достижения ребенком возраста цифрового согласия необходимо повторно взять согласие на обработку персональных данных уже у самого ребенка (так как родительское согласие больше не имеет юридической силы).
Также стоит отметить, что и американское, и европейское законодательство содержат понятие сайтов или сервисов, направленных на детскую аудиторию (в COPPA понятие закреплено, в ЕС оно используется в разъясняющих актах). Если основной или значительной частью аудитории сайта или сервиса являются дети (в США – до 13 лет, в Европе – в зависимости от национального законодательства стран-участниц), то все пользователи таких сайтов должны рассматриваться как дети, не достигшие возраста цифрового согласия. То есть, если сайт направлен на детскую аудиторию, то необходимо предоставлять повышенный уровень защиты и брать родительское согласие у любого пользователя, если он не докажет, что он не ребенок. Если же сайт не направлен на детскую аудиторию, то повышенный уровень защиты предоставляется только в том случае, если обработчику стало известно, что пользователь является ребенком.
Заключение
Сейчас надзорные органы и законодатели как в США, так и в ЕС уделяют пристальное внимание защите персональных данных детей в Интернете. Активно ведется разработка нормативной базы, прежде всего так называемых детских кодексов, которые устанавливают стандарты защиты данных детей. Первый такой кодекс был принят в Соединенном Королевстве (хотя Соединенное Королевство и не является больше государством-членом ЕС, в сфере приватности британская и европейская юрисдикции продолжают тесно взаимодействовать). В США только за 2023 год 11 штатов приняли подобные кодексы, и есть основания полагать, что тенденция продолжится: количество нормативных правовых актов будет увеличиваться, уровень защиты персональных данных детей – повышаться, а требования к контролерам данных – ужесточаться.