Осторожно: дети! (часть 1)

17 декабря 2021 г. ирландский надзорный орган (Data Protection Commission, DPC) представил документ под названием “Дети в центре внимания: основы ориентированного на детей подхода к обработке данных” (“Children Front and Centre: Fundamentals for a Child-Oriented Approach to Data Processing”, далее – Основы). Это результат более чем трех лет работы, в ходе которой DPC проанализировала мнения множества заинтересованных сторон: владельцев онлайн-сервисов; компаний, регулярно обрабатывающих персональные данные детей; правозащитников и самих детей. В Основах изложены принципы защиты приватности детей и способы их реализации, поэтому документ будет интересен и полезен многим: учреждениям образования, медицинским центрам, владельцам онлайн-сервисов и мобильных приложений, производителям “умных” игрушек и т.д. 

Ранее мы уже рассматривали вопрос о том, можно ли “отлучить” детей от использования сервиса, если компания не хочет иметь дело с защитой их персональных данных. Сегодня узнаем, как можно подойти к защите таких данных.

Защита приватности детей – актуальный вопрос для контролеров персональных данных при оказании всевозможных услуг. Однако услуга услуге рознь. Представьте себе Интернет-магазин электроники и педиатрический центр: хотя дети тоже могут быть среди покупателей Интернет-магазина, объем обрабатываемых персональных данных детей будет в разы больше именно у педиатрического центра. То есть, защита приватности детей более актуальна для тех сервисов, которые рассчитаны на детей (например, детские игровые центры или образовательные платформы) или со значительной долей вероятности будут использоваться детьми.

Сервисы, предназначенные для детей, определить достаточно просто. К ним относятся, например, компьютерные игры для аудитории до 18 лет, “умные” игрушки, онлайн-курсы для детей и т.д. А как насчет “сервисов, которые со значительной долей вероятности будут использоваться детьми”?

Потребности и интересы детей во многом совпадают с таковыми у взрослых. Дети также учат иностранные языки, слушают музыку, читают новости из жизни “звезд”, пользуются социальными сетями. Соответственно, владельцам таких сервисов следует задуматься о том, как защитить приватность пользователей до 18 лет. Да-да, именно 18-летие согласно Конвенции ООН о правах ребенка является границей детства. То, что пользователь достиг возраста 16 лет и может, в соответствии со ст. 8 GDPR, самостоятельно давать согласие на обработку его персональных данных, еще не делает его взрослым. Поэтому в соответствии с Преамбулой 38 контролер обязан принять меры, направленные на защиту интересов детей, то есть, всех субъектов данных в возрасте до 18 лет.

Итак, ваш сервис ориентирован на детей или со значительной вероятностью будет использоваться детьми. Какие у вас есть варианты?

👉  Вариант 1. Высокий уровень защиты по умолчанию для всех пользователей (“floor of protection”).

Владелец сервиса может спроектировать его таким образом, чтобы обеспечить высокий уровень защиты приватности для всех пользователей. Тогда не нужно знать возраст пользователя: и взрослые, и дети защищены с самого начала. Однако как наши достоинства – это продолжение наших недостатков, так и запуск сервиса с изначально “суперприватными” настройками может обернуться значительными неудобствами, в том числе сложностью проектирования и минимальным объемом обрабатываемых данных (от показа таргетированной рекламы придется отказаться). Несомненным же плюсом такого подхода будет минимальный риск как штрафа со стороны надзорного органа, так и испорченной репутации (если информация о недобросовестном отношении к приватности пользователей попадет в СМИ...). В конце концов, защита приватности – это маркетинговое преимущество!

👉   Вариант 2. Высокий уровень защиты по умолчанию только для детей.

В этом случае владелец сервиса активирует “суперприватные” настройки только для пользователей младше 18 лет. Такой вариант подойдет сервисам, которые рассчитаны на широкую аудиторию (то есть, не преимущественно на детей и подростков). Однако потребуется система разграничения пользователей на детей и взрослых . 

Сразу оговоримся: такая система должна быть достаточно эффективной. Кроме того, ее следует подбирать с учетом сути оказываемых услуг и обрабатываемых данных: чем больше риск для приватности, тем более надежный способ следует использовать. Например, если пользователь желает подписаться на рассылку школы рисования, “окошка” с текстом “Вы старше 16 лет?” и кнопками “Да” и “Нет” может быть вполне достаточно (при условии, что школа использует адреса электронной почты только для рассылки новостей). В то же время сервис типа “онлайн-психолог” потребует более эффективного способа определения возраста, поскольку риски при обработке данных в таком сервисе существенно выше. 

Какой из предложенных вариантов выбрать – решать владельцу сервиса (придется учесть и оказываемые услуги, и бизнес-модель). Однако любой из них предусматривает высокий уровень защиты приватности детей. Как его обеспечить? Об этом – в следующем материале.