Вывести детей “за скобки” можно, но далеко не всегда

17 декабря 2021 г. ирландский надзорный орган (Data Protection Commission, DPC) представил документ под названием “Дети в центре внимания: основы ориентированного на детей подхода к обработке данных” (“Children Front and Centre: Fundamentals for a Child-Oriented Approach to Data Processing”, далее – Основы). Это результат более чем трех лет работы, в ходе которой DPC проанализировала мнения множества заинтересованных сторон: владельцев онлайн-сервисов; компаний, регулярно обрабатывающих персональные данные детей; правозащитников и самих детей. В Основах изложены принципы защиты приватности детей и способы их реализации, поэтому документ будет интересен и полезен многим: учреждениям образования, медицинским центрам, владельцам онлайн-сервисов и мобильных приложений, производителям “умных” игрушек и т.д. 

Несколько выпусков нашего блога мы посвятим обзору принципов, изложенных в Основах, а начнем с ответа на один из самых популярных вопросов: можно ли “отлучить” детей от использования сервиса, если компания не хочет иметь дело с защитой персональных данных детей?

Little girl using smartphone for lessons on video call

Дети остаются детьми

Один из принципов, изложенных в Основах, звучит так:

Согласие не отменяет детство.

Он означает, что даже наличие согласия, полученного от ребенка или его законного представителя, не делает ребенка взрослым, не увеличивает уровень его осознанности и осторожности, когда дело касается предоставления персональных данных. Даже в том случае, когда согласие на соответствующую обработку дает законный представитель, данные все равно в большинстве случаев предоставляет ребенок. Именно поэтому при работе с данными детей следует принимать дополнительные меры защиты: использовать по умолчанию настройки, дружественные приватности (privacy-friendly settings), излагать информацию об обработке персональных данных простым и понятным для ребенка языком и т.д. Эти обязанности контролера вытекают из ст. 8, 13 и 14 GDPR (c уточнениями, изложенными в Преамбулах 38 и 58).

“Сервис предназначен для пользователей от 13 лет”

В Условиях использования, Лицензионном соглашении и иных подобных документах часто встречается указание на то, что сервис предназначен для пользователей старше определенного возраста, например, старше 16 лет. Дает ли это возможность владельцу сервиса не принимать дополнительные меры по защите приватности детей?

Нет, не дает.

По мнению DPC, если сервис позиционирует себя как рассчитанный на пользователей старше N лет, ему следует внедрить механизм определения возраста. Причем такой механизм должен быть достаточно эффективным, чтобы действительно не допускать детей младше N лет к использованию сервиса. Если же компания не может этого сделать (то есть, используемый механизм не предотвращает использование сервиса малолетними), она должна принять такие меры защиты приватности, которые будут учитывать как пользователей, достигших “официального” возраста использования сервиса, так и тех, кто младше. 

информационная приватность

То есть, компаниям, чьи сервисы будут с большой долей вероятности интересны и детям (например, социальные сети, музыкальные сайты, мобильные приложения типа “три-в-ряд”, “раскраски” и т.д.), придется принять дополнительные меры защиты приватности детей, например, по умолчанию устанавливать для детей более строгие настройки приватности, отключать геолокацию (если, конечно, она не нужна для услуг, предоставляемых сервисом), минимизировать объем собираемых данных и т.д. 

“Детям вход воспрещен”

Итак, скрыться за текстом “Наш сервис предназначен для пользователей старше 13 лет” не получится. Но ведь это не единственный вариант! Как насчет того, чтобы вовсе запретить детям пользоваться сервисом? Установить эффективную систему определения возраста, не допускать регистрации аккаунтов детьми – и приватностью можно не заниматься?

Увы, и этот вариант не работает.

По мнению DPC, соблюдение ст. 8 GDPR или любой другой обязанности, предусмотренной GDPR, не оправдывает запрет детям пользоваться сервисом (целиком или частично), продиктованный лишь необходимостью принимать дополнительные меры защиты приватности. По мнению правозащитников и активистов в области защиты прав детей, такие меры могут ограничить ребенка в реализации его прав, предусмотренных Конвенцией о правах ребенка, в том числе в праве свободно выражать свое мнение и праве искать, получать и передавать информацию и идеи любого рода. 

права ребенка

Реальность такова, что установление для ребенка запрета доступа к определенному сервису, если он ему интересен, обычно приводит лишь к тому, что дети лгут, чтобы обойти соответствующий механизм (обычно это достаточно примитивные механизмы, например, просьба указать дату рождения). В результате они все равно оказываются среди пользователей, однако система распознает их как взрослых, для которых применяются, соответственно, “взрослые” настройки приватности. Например, данные ребенка будут использоваться для составления профиля или для показа таргетированной рекламы, не рассчитанной на детей. Риски подобной ситуации, конечно, выше, нежели в случае, когда система, распознав ребенка, применила бы для него “детские” настройки приватности, сделав его пребывание на сайте более безопасным. Именно на это должны быть направлены усилия контролеров, обрабатывающих персональные данные детей: не закрывать глаза на присутствие детей, не запрещать им доступ к услугам, а делать использование этих услуг максимально безопасным для ребенка.

Тем не менее, есть ситуации, в которых блокирование доступа к сервису оправдано (как правило, такая обязанность установлена законом). Обычно это сервисы в области игорного бизнеса; сайты, посвященные алкогольным напиткам; сайты с порнографическими материалами и т.д.

План действий?

Что ваша компания может сделать уже сегодня, чтобы следовать наиболее передовым подходам в области приватности?

  1. Определите вашу целевую аудиторию. Интересен ли ваш сервис детям? Как много детей среди ваших пользователей? В качестве отправной точки можно использовать критерии, сформулированные в американском законодательстве (см. определение понятия “Web site or online service directed to children” в 16 CFR § 312.2). Так, при анализе следует учитывать: тематику сервиса; использование анимированных персонажей; музыку и аудио-контент, предоставляемый сервисом; предоставление информации о “звездах”, которыми интересуются дети, и т.д. Кроме того, нельзя не обращать внимание и на эмпирические данные: если аналитика показывает, что среди пользователей есть дети, игнорировать этот факт не получится.
  2. Выясните, как вы обрабатываете персональные данные детей. Если у вас нет реестра обработок персональных данных (Register of Processing Activities, RoPA), самое время его создать.
  3. Проведите оценку воздействия на информационную приватность детей (Data Privacy Impact Assessment, DPIA). Хотя GDPR не обязывает компании проводить DPIA всякий раз, когда задействованы персональные данные детей, Руководство об Оценке воздействия на информационную приватность и определении того, “высока ли вероятность серьезного риска в результате обработки” для целей Регламента 2016/679 (Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679), разработанное европейским надзорным органом, упоминает детей в качестве “уязвимой категории субъектов данных”. Обработка их данных действительно может с высокой долей вероятности привести к серьезному риску для их прав и свобод (следует также оценить и другие факторы, например, использование профилирования, объем собираемых данных и т.д.).
  4. На основе рисков, обнаруженных в ходе DPIA, определите перечень мер защиты приватности детей на вашем сервисе. Хорошим примером станут меры, перечисленные в разделе 7.3 Основ.
  5. Распределите меры по важности и срочности; определите, какие ресурсы потребуются компании на принятие этих мер. Запланируйте внедрение этих мер, внесите их в план работы на соответствующие итерации.
  6. Претворяйте план в жизнь 🌟 Помните: приватность – это процесс, так что регулярное внедрение даже небольших улучшений имеет значение.

 

И напоследок хочется отметить: приватность может казаться бременем, которое лишь поглощает ресурсы, но не приносит пользы. К счастью, это не так. Сегодня приватность – это и инструмент повышения лояльности пользователей, и маркетинговое преимущество. Стоит ли от него отказываться?

Расписание курсов загружается, подожди несколько секунд