Защита персональных данных детей по GDPR: основные риски и рекомендации
Персональные данные детей являются одной из наиболее уязвимых категорий при осуществлении обработки. Поэтому компании, которые обрабатывают такие данные или потенциально могут их обрабатывать, находятся под повышенным надзором со стороны регулятора.
Недавно регулятор Великобритании по защите данных оштрафовал компанию MediaLab.AI, Inc. (MediaLab), владельца платформы для обмена и размещения изображений Imgur, на 247 590 фунтов стерлингов за ненадлежащее использование личной информации детей.
В ходе расследования было установлено, что компания MediaLab позволяла детям использовать Imgur без соблюдения базовых мер защиты, требуемых в соответствии с законодательством Великобритании о защите данных.
То есть компания MediaLab нарушила закон следующим образом:
- Непринятие каких-либо мер по проверке возраста пользователей.
- Обработка персональных данных детей младше 13 лет без согласия родителей или на ином законном основании при предоставлении онлайн-услуг.
- Непроведение оценки воздействия на защиту данных с целью выявления и снижения рисков для конфиденциальности детей.
Что говорит GDPR?
GDPR устанавливает, что обработка персональных данных ребенка считается законной, если ребенку исполнилось 16 лет. Если ребенку менее 16 лет, обработка допускается только при наличии согласия родителя или иного законного представителя. Государства-члены ЕС могут предусмотреть меньший возраст, но не ниже 13 лет.
Чтобы узнать, какой минимальный возраст установлен в вашей юрисдикции, следует обратиться в национальный орган по защите данных
Какая предусмотрена ответственность за несоблюдение?
Как правило, основной мерой ответственности является административный штраф. GDPR устанавливает разные размеры штрафов в зависимости от серьезности нарушения, но до 20 000 000 евро либо — в случае организаций — до 4% от общего мирового годового оборота за предыдущий финансовый год (в зависимости от того, что выше).
Что необходимо помнить?
Если ваша компания обрабатывает персональные данные детей, чтобы снизить риски ответственности за ненадлежащую обработку персональных данных, рекомендуем следовать следующим правилам:
| Правило 1. Проверьте текст своей Privacy Policy на предмет наличия в ней необходимой информации |
|---|
GDPR требует, чтобы Privacy Policy обязательно содержала:
- информацию о контролере и процессорах (юридический адрес, контактные данные),
- цели обработки данных,
- категории обрабатываемых данных,
- правовые основания обработки,
- сроки хранения данных,
- информацию о третьих лицах, которым передаются данные и для каких целей,
- порядок трансграничной передачи данных (если применимо),
- перечень принимаемых мер для защиты данных,
- права субъектов данных и порядок их реализации,
- информацию о назначенном DPO (корпоративный адрес электронной почты).
|
Правило 2. Адаптируйте Privacy Policy так, чтобы ее понял ребенок |
|---|
Если деятельность вашей компании ориентирована на детей, компания должна обеспечить, чтобы любая информация и сообщения, адресованные детям, были легкодоступны и изложены на языке, понятном ребенку.
Сохраняйте максимально простой и ясный стиль изложения и не перегружайте текст сложными юридическими словами и оборотами. При оформлении Privacy Policy используйте графические элементы, например, иллюстрации в мультипликационном стиле, чтобы наглядно объяснить детям, какими данными они делятся.
|
Правило 3. Получите согласие родителя на обработку данных ребенка |
|---|
GDPR требует получения явного согласия родителя на обработку персональных данных ребенка, но в отличие от американского COPPA такое согласие не должно быть верифицированным.
Чтобы понять, нужно ли согласие родителя, базово при входе на сайт или в приложение можно запросить у пользователя его возраст.
Компания должна с учетом доступных технологий проверить родительское согласие на соответствие закону. То есть ваша компания должна внедрить меры по проверке возраста (например, контрольные вопросы, дополнительные действия на веб-сайте).
|
Правило 4. Обеспечьте безопасность персональных данных ребенка |
|---|
По общему правилу, компания обязана обеспечивать безопасность персональных данных всех пользователей вне зависимости от возраста. Однако персональные данные детей требуют повышенного уровня защиты.
Рассмотрите принятие дополнительных мер защиты:
- обеспечьте минимальный срок хранения данных ребенка,
- установите запрет или ограничьте передачу персональных данных детей третьим лицам,
- установите запрет или ограничьте сбор данных для аналитики и рекламы,
- примите дополнительные меры для обеспечения технической защиты данных.
Резюмируя, чтобы избежать негативных последствий как для компании, так и для пользователей, необходимо соблюдать законодательные требования о защите данных детей. Для этого следуйте рекомендациям и регулярно проводите аудит процессов обработки данных.
Авторы: Людмила Епихова, Александра Маглыш.
Команда юристов REVERA готова оказать профессиональную консультацию по GDPR, чтобы убедиться, что ваши процессы полностью соответствуют законодательству.
Напишите нашему юристу, чтобы узнать подробности
Написать юристу