Świat cyfrowy w XXI wieku przenika naszą codzienność, w sposób widoczny lub zupełnie nieświadomy towarzyszy nam w wielu zwyczajnych czynnościach, zarówno w pracy jak i w życiu prywatnym. Nasza rzeczywistość to splot świata materialnego i cyfrowego, a udział tego drugiego stale rośnie. Ten cyfrowy anturaż nie jest jednak zarezerwowany wyłącznie dla osób pełnoletnich, a wręcz przeciwnie – to co dla nas stanowi techniczne nowinki pozwalające sięgnąć tam, gdzie dotąd nasz wzrok nie sięgał, dla naszych dzieci jest najnormalniejszą rzeczą na świecie, którą chłoną wszystkimi zmysłami tak jak smaki, zapachy, czy pierwsze emocje, bez zwracania na nie większej uwagi.
Internet to ogromna kopalnia i zakład przetwórstwa danych osobowych, które płyną światłowodami, wiszą w domowych sieciach wifi czy odbijają się od satelit krążących na orbicie. Danych osobowych, które stały się przedmiotem naszego zainteresowania i ochrony, przyjmującej swoje kształty choćby przez takie akty prawne jak RODO, które wymaga spełnienia wobec osób, których te dane dotyczą, szeregu obowiązku m. in. przekazania kluczowych informacji o podstawach i celach przetwarzania czy też umożliwienia realizacji prawa dostępu do swoich danych, sprostowania, sprzeciwu czy też żądania zaprzestania przetwarzania lub wręcz ich usunięcia.
Niemal trzy lata po wejściu w życie RODO możemy z całą pewnością powiedzieć, że proces wdrażania prawa ochrony danych w biznesowe praktyki nadal trwa i choć jesteśmy dziś dużo dalej niż w maju 2018 roku, to jednak w wielu obszarach poziom wdrożenia pozostawia wiele do życzenia. Szczególnie miernie na tym tle wypada ochrona prywatności dzieci i młodzieży, która przecież korzysta z sieci tak samo jak dorośli.
Wytyczne ICO
Brytyjski organ nadzorczy ds. ochrony danych osobowych Information Commissioner’s Office (ICO) wychodzi temu wyzwaniu naprzeciw wskazując, że co piąty użytkownik internetu w Wielkiej Brytanii to dziecko, a mimo to większość stron internetowych, serwisów, usług online i urządzeń podłączonych do internetu zupełnie nie bierze tego pod uwagę. Ogromna część internetu jest nieprzygotowana na kontakt z użytkownikiem-dzieckiem, informacje są dla dzieci kompletnie nieczytelne, niezrozumiałe, trudne do odnalezienia. Co więcej dzieci, bardziej niż dorośli, są nieświadome zagrożeń związanych z przetwarzaniem danych osobowych i nie mają także świadomości swoich praw i obowiązków, jakie ciążą na administratorach ich danych. ICO wskazuje, że jest to jedna z największych luk prawnych, a problem z ochroną danych osobowych dzieci w sieci jest wskazywany w badaniach społecznych jako drugi najważniejszy problem ochrony danych osobowych tuż za cyfrowym bezpieczeństwem.
Mając na uwadze powyższe ICO przygotował kodeks dobrych praktyk w zakresie ochrony danych osobowych dzieci w internecie (Age Appropriate Design Code – dostępny w oryginalnej wersji anglojęzycznej tutaj), który został uchwalony przez brytyjski parlament i wszedł w życie 2 września 2020 z 12-miesięcznym okresem przejściowym na dostosowanie (do dnia 2 września 2021). .
Zakres obowiązywania
Kodeks z wytycznymi zawiera na 113 stronach opis 15 elastycznych standardów, które należy stosować przy przetwarzaniu danych dzieci w internecie w ramach szeroko pojętych usług online. Choć regulacja powstała w oparciu o brytyjską ustawę o ochronie danych, to jednak jak twierdzi ICO, wynika wprost z obowiązujących regulacji na szczeblu międzynarodowym takich jak Konwencja ONZ o Prawach Dziecka (1987) i europejskim RODO (2018), a więc nie stanowi w istocie nowego prawa, a jedynie uzupełnia i konkretyzuje obowiązujące już normy. ICO informuje także, że Kodeks będzie obowiązywał nawet po wyjściu Wielkiej Brytanii z Unii Europejskiej, niezależnie od losu, jaki spotka RODO na Wyspach Brytyjskich.
Co prawda kodeks zawiera jedynie elastyczne wytyczne i zbiór dobrych praktyk, jednak ICO wskazuje, że ich treść wynika z obowiązujących norm, a zatem administrator niestosujący zasad będzie miał ogromne trudności, żeby wykazać respektowanie obowiązków prawnych, w tym tych wynikających z RODO, na podstawie których Kodeks powstał. Trudno z resztą w tym miejscu nie zgodzić się z ICO, ponieważ opis każdej z zasad i jej implikacje poprzedza wskazanie jej źródła wprost w treści RODO, motywów do RODO lub zapisów Konwencji. W treści wytycznych pojawia się wprost informacja, że niestosowanie się do zasad będzie traktowanie jak naruszenie RODO i innych regulacji prawnych chroniących dane osobowe oraz stojących na straży praw dziecka.
W tym miejscu warto podkreślić (za ICO), że jest to pierwszy tego rodzaju dokument i niewątpliwie będzie stanowił wskazówkę dla wytycznych i regulacji, które będą się pojawiać w przyszłości, zarówno na szczeblu europejskim jak i krajowym. Najlepszym przykładem tej tezy niech będzie fakt, że stworzenie wytycznych dla przetwarzania danych dzieci zostało wpisane do planu prac dla Europejskiej Rady Ochrony Danych (EROD) na rok 2021. Bez wątpienia w przyszłych wytycznych EROD znajdzie się wiele nawiązań do wytycznych ICO, dlatego tym bardziej warto zapoznać się już dziś z przyszłością, która nadejdzie.
Kogo i czego dotyczy kodeks?
Jak już wspomniano kodeks zawiera opis 15 standardów, które należy stosować przy przetwarzaniu danych osobowych dzieci w związku ze świadczeniem usług online. Kodeks będzie miał moc prawną na terenie Wielkiej Brytanii, ale podobnie jak RODO, obowiązywać będzie także podmioty zagraniczne, które będą świadczyć usługi w Wielkiej Brytanii lub kierować je do jej mieszkańców.
Jakie branże muszą stosować Kodeks?
ICO nie publikuje listy branż, które powinny stosować standardy, ale wskazuje, że powinny być one stosowane przez podmioty świadczące usługi, po które prawdopodobnie mogą sięgać dzieci (m.in.):
- aplikacje na smartfony i tablety,
- programy komputerowe,
- platformy social mediowe,
- zabawki z dostępem do internetu lub podłączone do sieci,
- strony edukacyjne,
- gry online,
- platformy streamingowe,
- sklepy internetowe,
- wyszukiwarki internetowe
Ze względu na cechy określonej usługi:
- za wynagrodzeniem
- na odległość
- za pomocą środków komunikacji elektronicznej
- na indywidualne żądanie użytkownika (czyli nie masowa transmisja np. radio czy telewizja internetowa, ale platforma streamingowa już tak)
To jednak nie wyczerpuje listy branż, bowiem nie można ograniczać się ze stosowaniem Kodeksu wyłącznie do usług zaprojektowanych dla dzieci – Kodeks może i powinien być więc stosowany w różnych aspektach w zależności od usługi:
- w przypadku produktów i usług, których nie powinno się świadczyć osobom niepełnoletnim, lub jest to prawnie zabronione (np. pornografia, hazard) – Kodeks powinno się stosować w zakresie stosowania rozwiązań zapobiegających dostępowi dzieci do tych produktów i usług (np. środki służące potwierdzaniu wieku i moniotorwania, czy z usług nie korzystają dzieci).
- w przypadku usług/produktów, które nie są zakazane dla dzieci, ale nie są też dla nich zaprojektowane, należy stosować zasady Kodeksy w celu informowania o zagrożeniach związanych z przetwarzaniem danych i ochroną ich praw (podejście child friendly).
- w przypadku kiedy usługi/produkty są projektowane dla dzieci lub dzieci są rozpoznane jako kategoria użytkowników korzystających z usług/produktów, Kodeks należy stosować w pełnym zakresie.
Aneks A do Kodeksu zawiera schemat ułatwiający ocenę, czy nasze usługi wymagają stosowania go czy też nie (aneks w oryginalnej wersji w języku angielskim dostępny tutaj).
Standardy
Kodeks wymienia i opisuje 15 elastycznych standardów, które należy stosować a są to:
- Najlepszy interes dziecka: Najlepszy interes dziecka powinien być najważniejszym czynnikiem branym pod uwagę podczas projektowania i rozwijania usług online, do których dostęp może mieć dziecko.
- Oceny skutków dla ochrony danych (DPIA): Przeprowadź DPIA aby ocenić i złagodzić zagrożenia dla praw i wolności dzieci, które prawdopodobnie uzyskają dostęp do Twojej usługi, a które wynikają z przetwarzania przez Ciebie ich danych. Należy wziąć pod uwagę różnice wieku, możliwości i potrzeby rozwojowe dzieci oraz zapewnić, że ocena DPIA została opracowana zgodnie z niniejszym kodeksem.
- Zastosowanie odpowiednie do wieku: Przyjmij oparte na ryzyku podejście do rozpoznawania wieku poszczególnych użytkowników i zapewnij, że skutecznie stosujesz standardy zawarte w tym kodeksie w odniesieniu do użytkowników będących dziećmi. Określ wiek z taką pewnością, która jest odpowiednia do zagrożeń dla praw i wolności dzieci, które wynikają z przetwarzania danych, lub zastosuj najwyższe standardy zawarte w niniejszym kodeksie do wszystkich użytkowników.
- Przejrzystość: Informacje o prywatności, które dostarczasz użytkownikom, a także inne opublikowane warunki, polityki i standardy społecznościowe, muszą być zwięzłe, widoczne i napisane jasnym językiem dostosowanym do wieku dziecka. Należy zapewnić dodatkowe, szczegółowe wyjaśnienia na temat sposobu wykorzystania danych osobowych w momencie aktywacji korzystania z nich.
- Szkodliwe wykorzystanie danych: Nie należy wykorzystywać danych osobowych dzieci w sposób, który byłby szkodliwy dla ich dobra, lub który jest sprzeczny z branżowymi kodeksami postępowania, innymi przepisami regulacyjnymi lub zaleceniami administracyjnymi.
- Polityka i standardy społecznościowe: Przestrzeganie własnych opublikowanych warunków, zasad i standardów społecznościowych (w tym między innymi zasad prywatności, ograniczeń wiekowych, zasad zachowania i zasad dotyczących treści).
- Ustawienia domyślne: Ustawienia muszą być domyślnie „wysokiej prywatności” (chyba że można wykazać istotny powód dla innego ustawienia domyślnego, biorąc pod uwagę najlepszy interes dziecka).
- Minimalizacja danych: Zbieranie i przechowywanie tylko minimalnej ilości danych osobowych potrzebnych do zapewnienia elementów usługi, w które dziecko aktywnie i świadomie się angażuje. Należy dać dzieciom możliwość wyboru elementów, które chcą aktywować…
- Udostępnianie danych: Nie ujawniaj danych dzieci, chyba że możesz wykazać niepodważalny powód, aby to zrobić, biorąc pod uwagę najlepszy interes dziecka.
- Geolokalizacja: Wyłączaj domyślnie opcje geolokalizacji (chyba że możesz wykazać istotny powód, dla którego geolokalizacja powinna być domyślnie włączona, biorąc pod uwagę najlepszy interes dziecka). Zapewnij dzieciom w swojej usłudze wyraźny znak informujący, że śledzenie lokalizacji jest aktywne. Opcje, które sprawiają, że lokalizacja dziecka jest widoczna dla innych, muszą być domyślnie wyłączane na koniec każdej sesji.
- Kontrola rodzicielska: Jeśli zapewniasz kontrolę rodzicielską, poinformuj o tym dziecko w sposób odpowiedni dla jego wieku. Jeżeli usługa online umożliwia rodzicowi lub opiekunowi monitorowanie aktywności dziecka w internecie lub śledzenie jego lokalizacji, należy w sposób oczywisty zasygnalizować dziecku, że jest ono monitorowane.
- Profilowanie: Należy domyślnie wyłączyć opcje, które wykorzystują profilowanie (chyba że można wykazać istotny powód, dla którego profilowanie powinno być domyślnie włączone, biorąc pod uwagę najlepszy interes dziecka). Zezwalaj na profilowanie tylko wtedy, gdy dysponujesz odpowiednimi środkami ochrony dziecka przed szkodliwymi skutkami (w szczególności przed otrzymywaniem treści szkodliwych dla jego zdrowia lub samopoczucia).
- Techniki nudge (popychanie/szturchanie): Nie należy stosować technik popychania w celu nakłaniania lub zachęcania dzieci do podawania niepotrzebnych danych osobowych lub osłabiania lub wyłączania ich ochrony prywatności.
- Podłączone zabawki i urządzenia: Jeśli udostępniasz podłączoną do internetu zabawkę lub urządzenie, upewnij się, że dołączasz skuteczne narzędzia umożliwiające zachowanie zgodności z tym kodeksem.
- Narzędzia online: Zapewnij widoczne i dostępne narzędzia pomagające dzieciom w korzystaniu z ich praw do ochrony danych i zgłaszaniu problemów.
Po lekturze listy standardów widać wyraźnie, że wytycznie są nie tylko kompleksowym zestawem zasad przetwarzania danych osobowych dzieci, ale sięgają także głębiej do różnych aspektów świadczenia usług, z których dzieci mogą korzystać.
Z uwagi na fakt, że jest to obszerny i dość konkretny dokument, który mimo swojej wagi został niemal zignorowany w dyskusji dotyczącej danych osobowych, w kolejnych częściach serii zajmiemy się szczegółowym opisem standardów i przykładów ich zastosowania, o których wspomina ICO.