Дети регистрируются в социальных сетях, скачивают мобильные приложения в Google Play/App Store и без ограничения гуглят в Интернете. Это значит, что каждому IT-бизнесу, который публикует продукты в открытом доступе, важно знать правила обработки персональных данных детей, чтобы избежать GDPR штрафов.
Мы спросили у IT-юристов из Stalirov&Co как самостоятельно провести GDPR аудит Политики конфиденциальности и какой пункт в документе защитит IT-компанию от претензий и штрафов.
Можно ли собирать и обрабатывать персональные данные о детях?
Обработка персональных данных детей считается законной после достижения ими 16 лет. Страны ЕС могут понизить возрастной порог до 13 лет. Например, в Дании, Великобритании, Швеции установили порог в 13 лет, в Италии — 14 лет, во Франции и Греции — 15 лет. Если ребенок не достиг этого возраста, разрешение на сбор и обработку данных ребенка дают родители или опекуны.
Какие пункты об обработке данных детей должны быть в Политике конфиденциальности?
В Политике конфиденциальности нужно определить возрастное ограничение. Аудит GDPR включает изучение функционала или геймфлоу, чтобы понять для какой аудитории предназначен продукт. Например, у игры может быть ограничение 9+, если игроку редко придется убивать фантастических существ или читать о темах, которые вызывают страх. В то же время, использовать ненормативную лексику можно только в играх 16+.
Если ваш продукт рассчитан на детей, важно написать политику конфиденциальности простым и доступным языком, чтобы ребенок мог сам ее прочитать. Кроме этого, используйте язык страны ребенка. Например, TikTok в Нидерландах оштрафовали на 750 000 евро за то, что политика была на английском, а не голландском языке. Из-за этого у детей не было возможности прочитать документ.
Если продукт рассчитан на взрослую аудиторию, обязательно добавьте в политику дисклеймер. Напишите, что намеренно не обрабатываете персональные данные детей, а если выявите это, удалите аккаунт несовершеннолетнего пользователя. Попросите других пользователей сообщать вам, если им станет известно, что программой пользуются дети.
За неспособность внедрить адекватные меры контроля для выявления и удаления несовершеннолетних TikTok получил еще один штраф в 14,5 млн евро. Оказалось, что платформа обрабатывала данные более миллиона британских детей до 13 лет без согласия родителей.
IT-бизнесу важно анализировать свою аудиторию и внедрять технические меры по защите их конфиденциальности. Самый большой штраф в 345 млн евро TikTok получил за нарушение технических требований в Ирландии. Профили пользователей-детей по умолчанию были открыты для общего доступа. Чтобы избежать таких штрафов, нужно тщательно изучить движение данных и их доступность для третьих лиц. Поэтому, GDPR услуги включают аудит функционала продукта. Важно с самого начала выявить риски и организовать безопасный процессинг.
Что делать, чтобы избежать штрафов?
Подведем итоги. IT-юристы из Stalirov&Co дали 5 рекомендации по обработке данных детей.
- Установите однозначное возрастное ограничение. При его определении, берите во внимание законодательство стран, где будет доступен продукт, а не только общее правило GDPR.
- Пишите Политику конфиденциальности просто и доступно, на языке страны пользователей.
- Проведите аудит функционала продукта или геймфлоу игры, чтобы определить допустимый возраст.
- Добавьте в Политику конфиденциальности дисклеймер, если продукт рассчитан на взрослых, но ребенок может получить к нему доступ.
- Внедряйте технические меры безопасности, чтобы обеспечить конфиденциальность данных детей.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co
