W dniu 2 września 2020 r. ICO (Information Commissioner’s Office – brytyjski odpowiednik polskiego UODO) opublikował kodeks dla usług online dotyczący właściwego projektowania ze względu na wiek użytkownika. Jego celem jest zapewnienie, aby Internet stał się dla dzieci bezpiecznymi miejscem do nauki i zabawy, mimo że pierwotnie został stworzony jako narzędzie dla osób dorosłych.
Idea kodeksu nie jest rewolucyjna. Sama treść RODO wskazuje, że dzieci – z uwagi na mniejszą świadomość ryzyka i konsekwencji swoich działań – powinny być szczególnie chronione w obszarze prywatności i ochrony danych osobowych. Unijne rozporządzenie wskazuje, że szczególną uwagę należy poświęcić kwestii przetwarzania danych w zakresie profilowania oraz marketingu i usług skierowanych do dzieci. Nakazy i wytyczne wskazane w RODO okazały się jednak na tyle ogólne, że pojawił się problem, w jaki sposób je interpretować i stosować w praktyce. Dlatego w zakresie rozwiązań ochrony prywatności dzieci, działo się dotychczas niewiele. Głównym celem brytyjskiego kodeksu jest więc wprowadzenie konkretów i rozpoczęcie pracy nad tymi, bez wątpienia, istotnymi kwestiami.
Kodeks wprowadza 15 reguł (standardów), którymi powinny kierować się podmioty projektujące i oferujące usługi internetowe użytkowane przez dzieci. Poniżej przedstawiono ich krótkie podsumowanie.
Kodeks sugeruje, aby przy projektowaniu usługi online brać pod uwagę potrzeby dzieci, z uwzględnieniem ich przewidywanego wieku. Zalecane jest korzystanie w tym zakresie z porad zewnętrznych ekspertów. Istotne jest również, aby nie zapominać o roli rodziców w ochronie interesów dziecka. Te kroki pozwolą chronić interes dziecka na szerszym polu niż ochrona danych, m.in chronić dzieci przed wykorzystywaniem, wspierać ich zdrowie i rozwój fizyczny oraz psychiczny. Kodeks jednocześnie podkreśla, że interes dziecka w razie konfliktu z celami komercyjnymi, powinien nad nimi przeważać.
Information Commissioner’s Office przypomina, kiedy i na jakich zasadach powinna być przeprowadzana analiza DPIA. Zostało jednocześnie podkreślone, że w świetle RODO usługi online często wywołują potrzebę wykonania DPIA – w szczególności ze względu na zastosowanie innowacyjnej technologii, profilowania na dużą skalę, przetwarzania danych biometrycznych lub lokalizowania użytkownika. W praktyce uznaje się także, że DPIA jest konieczne, gdy jedną z grup docelowych usługi online są dzieci. Ocena powinna uwzględniać brzmienie przepisów RODO, ale również uwzględniać szersze ryzyko związane z prawami i wolnościami dzieci, w tym możliwość wystąpienia istotnych szkód materialnych, fizycznych, psychologicznych lub społecznych. ICO jednocześnie zwraca uwagę, że właściwe jest, aby na etapie wykonania DPIA dokonać konsultacji także pośród dzieci i rodziców, co pomoże w budowaniu zaufania i poprawi zrozumienie specyficznych potrzeb, obaw i oczekiwań dzieci. Przypomniano, że ocena powinna być dokonywana także w razie wprowadzenia istotnych zmian w funkcjonowaniu usługi.
ICO szczegółowo określa, jakie kryteria powinny być uwzględnione, gdy DPIA jest wykonywane ze względu na fakt, że usługa skierowana jest dla nieletnich użytkowników. Są nimi m.in.: przedział wiekowy grupy docelowej, planowany sposób kontroli rodzicielskiej, sposób ustalania wieku użytkowników, spodziewane korzyści dla dzieci oraz profity komercyjne, planowane do zastosowania metody profilowania, geolokalizacji, techniki tzw. nudging-u (o czym szerzej w dalszej części artykułu), przetwarzanie danych wrażliwych lub zagregowanych.
Według zaleceń ICO, przy wykonywaniu DPIA dla usług skierowanych do dzieci należy wziąć pod uwagę takie zagrożenia jak: możliwe szkody fizyczne, uwodzenie w Internecie lub innego rodzaju wykorzystywanie seksualne; wywoływanie niepokoju lub obniżenie poczucia własnej wartości, nękanie lub presja rówieśnicza, dostęp do szkodliwych lub nieodpowiednich treści, wprowadzanie w błąd, zachęcanie do podejmowania nadmiernego ryzyka lub niezdrowego zachowania, podważanie autorytetu lub odpowiedzialności rodzicielskiej, utrata kontroli nad własnymi prawami, wykorzystanie kompulsywności lub braku uwagi, nadmierne spędzanie czasu przy ekranie, wywoływanie złych nawyków lub przerw w śnie, wyzysk ekonomiczny lub nieuczciwa presja handlowa lub wywoływanie jakichkolwiek innych niekorzystnych czynników ekonomicznych, społecznych lub rozwojowych.
Wytyczne ICO sugerują, aby w możliwym i rozsądnym zakresie ustalać wiek poszczególnych użytkowników usługi. Umożliwi to zapewnienie dzieciom odpowiedniego modelu ochrony prywatności i danych osobowych. Jeżeli ustalenie wieku nie jest możliwe, zalecane jest stosowanie standardów właściwych dla dzieci wobec wszystkich użytkowników usługi.
Kodeks wskazuje 5 grup wiekowych (0-5 lat, 6-9 lat, 10-12 lat, 13-15 lat, 16-17 lat), dla których warto rozważyć zróżnicowane środki ochrony prywatności. Oczywiście w przypadku konkretnej usługi uwzględnione powinny być wyłącznie te grupy wiekowe, które prawdopodobnie będą korzystać z usługi.
Wytyczne ICO poruszają również istotną kwestie – w jaki sposób weryfikować wiek użytkownika? Kodeks nie wprowadza tu sztywnych reguł i wskazuje, że możliwe są różne metody, a ich zastosowanie powinno zależeć od specyfiki usługi i stopnia ryzyka po stronie dziecka:
ICO jednocześnie przypomina, że dane zebrane przy weryfikacji wieku nie powinny być bez zgody wykorzystywane w innych celach np. do profilowania na potrzeby marketingu. Dostrzeżono także że weryfikacja wieku często wywołuje konieczność zbierania nowych danych osobowych, co może stać w konflikcie z zasadą minimalizacji przetwarzania wynikającą z RODO. Z tego powodu zwrócono uwagę na potrzebę zachowania proporcjonalności w tych działaniach.
Kodeks w temacie przejrzystości w dużej mierze powtarza zasady wskazane już w treści RODO. Zachęca się jednocześnie, aby komunikaty informacyjne wynikające z RODO i skierowane dla dzieci były wyjątkowo krótkie i proste. Powinny one sugerować, że w razie wątpliwości dziecko skonsultowało się z rodzicem i nie wyrażało zgody na zasady, których nie rozumie.
ICO zwraca uwagę, że niekiedy regulaminy dla usług są skomplikowane, aby spełnić odpowiednie standardy prawne. Dlatego warto obok regulaminu zapewnić dla dodatkowe, proste komentarze i wyjaśnienia, np. w formie grafiki, wideo, audio oraz innych przekazów interaktywnych, które przyciągają uwagę dzieci. Informacje tego typu powinny wyraźnie dzielić dane na te, których przetwarzanie jest niezbędne oraz na dane, które mogą być wykorzystane opcjonalnie lub do dodatkowych celów.
ICO ponownie podkreśla, że sposób przekazywania informacji powinien być dostosowany do poszczególnych grup wiekowych. Młodszym dzieciom możliwe jest przekazywanie minimum informacji z uwagi na fakt, że „poważne” decyzje dotyczące danych i prywatności nie powinny być dla nich w ogóle dostępne. Z kolei w przypadku nastolatków warto zastanowić się nad szerszym (i przyjaznym) wytłumaczeniem pewnych kwestii, aby umożliwić dorastającej osobie podjęcie świadomej decyzji dotyczącej jej danych. Uproszczenie przekazu w żadnym przypadku nie może jednak prowadzić do ukrycia informacji o celach i sposobie przetwarzania danych dziecka. W każdej wersji przekazu powinna być możliwa do odnalezienia szczegółowa informacja wymagana przez RODO do wglądu rodzica. Co warte podkreślenia, kodeks zawiera przydatną i konkretną tabelę z opisem metod przekazywania informacji do poszczególnych grup wiekowych, która dostępna jest pod następującym linkiem:
Źródło: https://ico.org.uk
ICO podkreśla, że nie należy przetwarzać danych osobowych dzieci w sposób, który może się okazać szkodliwy dla ich zdrowia lub samopoczucia. Nie jest więc wystarczające ograniczenie się do literalnego przestrzegania zasad wynikających z RODO. Konieczne jest spojrzenie na kwestię szkodliwości szerzej, w tym m.in. w świetle kodeksów i innych norm postępowania ustanowionych w branży reklamowej, telewizyjnej lub gamingowej. Dotyczy to w szczególności potrzeby ograniczenia technik uzależniających dzieci od usługi, np. poprzez system nagród lub mechanizmy nakłaniające do zbyt długiego patrzenia w ekran, a także wykorzystujące chęć zysku lub wywołujące presję rówieśników, w tym także poprzez wykorzystanie w tym celu zebranych danych osobowych użytkownika.
ICO dostrzega, że usługi online wiążą się często z koniecznością kontrolowania użytkowników m.in. pod kątem właściwego zachowania lub w celu eliminacji możliwych nadużyć w trakcie korzystania z usługi. Ze względu na obowiązywanie RODO, tego typu zasady kontroli muszą zostać szczegółowo opisane przez usługodawcę oraz stosowane z umiarem. ICO podkreśla, że usługodawca powinien wprowadzać do swoich polityk wyłącznie te zasady i obietnice, które jest w stanie wyegzekwować.
ICO trafnie wskazuje, że większość dzieci zwykle akceptuje domyślne ustawienia prywatności i nigdy ich nie zmienia. Dlatego już ustawienia domyślne powinny zapewniać dziecku odpowiednią ochronę, w tym nie pozwalać na gromadzenie danych, które nie są niezbędne do świadczenia usługi online oraz nie pozwalać na udostępnianie danych dziecka innym osobom ponad potrzebę. Należy również pamiętać, że gdy dziecko próbuje zmienić ustawienia prywatności, powinny mu zostać dostarczone niezbędne, przejrzyste wyjaśnienia, a także możliwość przywrócenia w prosty sposób pierwotnych, wysokich ustawień prywatności. Kodeks negatywnie ocenia również rozwiązania, w ramach których dziecko jest zachęcane do zmiany ustawień prywatności na niższe. Jeżeli w przypadku aktualizacji oprogramowania zasady prywatności ulegają zmianie, usługodawca powinien przyjąć, że użytkownik wybiera wysokie ustawienia prywatności także w odniesieniu do przeprowadzanej aktualizacji. Jeżeli usługa jest możliwa do świadczenia wobec wielu użytkowników korzystających z jednego urządzenia, zalecane jest umożliwienie stworzenia indywidualnych profili prywatności dla każdego z użytkowników.
ICO – prócz przypomnienia zasad minimalizacji wynikających z RODO – podkreśla, że należy przyznać dzieciom możliwie dużą swobodę decyzji, które elementy usługi pragną wykorzystywać. Dzięki temu nie będzie konieczne zbieranie danych na potrzeby funkcji usługi, którymi dziecko nie jest zainteresowane. Bez wyraźnej zgody użytkownika należy także powstrzymać się od gromadzenia danych na potrzeby ulepszenia świadczonych usług lub ich personalizacji dla użytkownika. Uzasadnieniem do przetwarzania danych jest zatem wyłącznie aktywne i świadome korzystanie z elementu usługi przez dziecko.
W przypadku domyślnych, wysokich ustawień prywatności, możliwość udostępniania danych dziecka powinna być ściśle ograniczona. Usługodawca, bez względu na wybrane ustawienia prywatności, powinien również nie udostępniać danych osobowych, jeżeli można przypuszczać, że spowoduje to wykorzystanie danych osobowych dzieci przez osoby trzecie w sposób szkodliwy dla ich dobra. ICO podkreśla także, że należy uzyskiwać od odbiorców zapewnienie, że dane osobowe dzieci zostaną zachowane w poufności oraz należy kontrolować zasady ochrony danych osobowych po stronie odbiorcy.
Jako uzasadniony przykład dzielenia się danymi kodeks wskazuje współpracę usługodawców w celu ochrony, zapobiegania wykorzystywaniu seksualnemu dzieci i ich niegodziwemu traktowaniu w Internecie lub w celu zapobiegania przestępstwom przeciwko dzieciom, takim jak uwodzenie dzieci w Internecie, bądź ich wykrywania.
ICO podkreśla, że ustalanie lokalizacji dzieci niesie ze sobą szczególne ryzyko, gdyż bezprawne wykorzystanie tych danych może zagrozić ich fizycznemu bezpieczeństwu. Korzystanie z geolokalizacji może także osłabiać poczucie prywatności po stronie dziecka.
Kodeks potwierdza, że jeżeli sednem usługi online jest lokalizacja użytkownika, nie jest właściwym, aby jej włączanie lub wyłączanie było regulowane w ustawieniach prywatności. Jeżeli jednak lokalizacja jest funkcją lub usługą dodatkową, dziecko powinno mieć kontrolę nad ustawieniami lokalizacji. Oznacza to w praktyce, że dodatkowe funkcje lokalizacyjne powinny być domyślnie wyłączone. Istotne jest również, aby unikać dokładnego ustalenia lokalizacji, jeżeli do działania usługi lub jej funkcji potrzebne jest jedynie ustalenie ogólnego regionu, w którym dziecko się znajduje.
Według ICO, informacje o zbieraniu danych o lokalizacji powinny być jasno wskazane zarówno podczas rejestracji jak i w trakcie korzystania z tej funkcji usługi (np. za pomocą wyraźnego symbolu). Zalecane jest również namawianie dziecka, aby poprosiło o wyjaśnienie osobę dorosłą, jeżeli nie rozumie sposobu działania tej funkcji. Zostało również podkreślone, że geolokalizacja zasadniczo powinna być wyłączna po każdej sesji korzystania z usługi, w której ta funkcja była niezbędna do wykorzystania.
Kodeks podkreśla wagę kontroli rodzicielskiej w ochronie i promowaniu najlepszych interesów dziecka, jednocześnie zastrzegając, że może ona mieć negatywny wpływ na prawo dziecka do prywatności. Konieczne jest zatem wyjaśnienie dziecku, że jest monitorowane przez rodzica, np. poprzez widoczny symbol w interfejsie usługi. ICO podkreśla, że zarówno rodzicom jak i dzieciom w starszych grupach wiekowych powinno zostać przekazane pouczenie o prawie dziecka do poszanowania jego prywatności, aby kontrola rodzicielska nie była wykorzystywana ponad faktyczną potrzebę.
ICO przypomina, że profilowanie powinno być domyślne wyłączone, jeżeli nie jest niezbędne do świadczenia podstawowych funkcji usługi lub konieczne z uwagi na obowiązki prawne leżące po stronie usługodawcy. W pozostałym zakresie (w szczególności na potrzeby sprofilowanej reklamy) profilowanie powinno być możliwe do włączenia i wyłączenia w ustawieniach prywatności. Kodeks przypomina również, że w razie dokonywania profilowania, usługodawca powinien udostępnić w tym zakresie kompletną informację, spełniającą wymagania przejrzystości omówione w treści kodeksu.
ICO zwraca uwagę, że profilowanie odbywa się zazwyczaj za pomocą plików cookies. Oznacza to, że zgoda na wykorzystywanie określonych plików cookies umożliwiających przetwarzanie danych, powinna spełniać wymagania określone w RODO, w szczególności powinna być zgodą niedomniemaną (na zasadzie „opt-in”) i może być udzielona wyłącznie przez dziecko, które ukończyło 13 rok życia.
Istotną przesłanką legalności pokazywania dzieciom nowych treści na podstawie profilowania powinien być fakt, że usługodawca filtruje i posiada kontrolę nad takimi treściami. Dlatego też ograniczone powinno zostać tworzenie profilu dziecka w celu przedstawiania mu reklam i informacji zewnętrznych, całkowicie niezależnych od pierwotnej usługi. ICO jednocześnie dopuszcza, aby profilowanie odbywało się na potrzeby polecania dziecku informacji i treści usługi w oparciu o historię dotychczasowego korzystania z usługi, w szczególności, aby zapobiec dostępowi do treści nieodpowiednich dla dziecka. Jednakże w takim wypadku usługodawca pozostaje odpowiedzialny za treści, które zostaną wyświetlone. Jeżeli nie jest możliwe spełnienie powyższych wymagań, usługodawca powinien zrezygnować z tworzenia profilu dziecka.
Techniki „nudge” polegają na zachęcaniu użytkowników do podążania za preferowanymi przez projektanta ścieżkami w procesie podejmowania decyzji. Mogą one być stosowane poprzez wyróżnianie decyzji pożądanych a także ukrywanie bądź utrudnianie wyboru opcji niepreferowanych przez projektanta usługi. Mają one formę zarówno tekstową, graficzną jak i funkcjonalną, np. poprzez znaczne zmniejszenie liczby kroków niezbędnych do wyboru opcji „właściwej” w porównaniu z opcją niepożądaną z perspektywy usługodawcy.
Źródło: https://ico.org.uk
ICO uznaje techniki nudge za niezgodne z zasadą przejrzystości, która powinna mieć zastosowanie w szczególności w stosunku do dzieci. Dotyczy to zarówno nakłaniania do wyboru niższych stopni ochrony prywatności jak i do skłonienia dziecka do złożenia nieprawdziwego oświadczenia dotyczącego wieku. Nie jest jednak zabronione, aby stosować te techniki w celu zasługującym na aprobatę, np. w celu zachęcenia dziecka do wyboru wyższego poziomu ochrony prywatności lub skłonienia go do przerwy w razie zbyt długiego czasu korzystania z usługi.
ICO zwraca uwagę, że zabawki i urządzenia podłączone do Internetu mogą stwarzać zagrożenie ze względu na możliwość zbierania danych poprzez m.in. aparaty fotograficzne i mikrofony. Nie bez znaczenia jest również fakt, że często są one używane przez bardzo małe dzieci bez nadzoru dorosłych. Kodeks zwraca uwagę, że producent zabawki lub urządzenia nie może zwolnić się z odpowiedzialności za bezpieczeństwo danych poprzez powierzenie realizacji „funkcji sieciowej” zabawki lub urządzenia innemu podmiotowi. W szczególności producent powinien zapewnić środki zabezpieczające przed nieupoważnionym dostępem do urządzenia, aby wykluczyć możliwość szpiegowania lub komunikacji z dzieckiem. W fazie projektowania należy także uwzględnić, że zabawka lub urządzenie może być wykorzystywane przez wielu użytkowników w różnymi wieku.
ICO wskazuje, że konieczne jest podanie jasnych informacji o danych osobowych w punkcie sprzedaży oraz przed konfiguracją zabawki lub urządzenia – w szczególności poprzez wyraźną informację na opakowaniu, że produkt łączy się z siecią. Pełne informacje powinny być dostępne przed dokonaniem zakupu. Niezbędne jest również zapobieganie biernemu gromadzeniu danych – w szczególności poprzez jasne pokazanie dziecku i rodzicowi, kiedy funkcja zbierająca dane jest uruchomiona, a zbieranie danych w trybie „czuwania” urządzenia nie powinno być możliwe.
Kodeks wskazuje, że usługodawcy usług online powinni stworzyć narzędzia pomagające dzieciom w prostym i łatwym korzystaniu z przysługujących im praw wynikających z RODO. W tym celu zalecane jest wyróżnienie informacji o prawach w interfejsie usługi. Narzędzia temu służące powinny być odpowiednie do wieku i łatwe w użyciu. W przypadku młodszych dzieci mogą być to zakładki i przyciski, „potrzebuję pomocy”, „nie podoba mi się to”, a w przypadku dzieci starszych również; „chciałbym zgłosić sprzeciw”, „potrzebuję pomocy”, „proszę o więcej informacji” – aby umożliwić samodzielne skorzystanie przez dziecko z jego praw. ICO wskazuje propozycje takich rozwiązań w formie tabeli z podziałem na poszczególne grupy wiekowe, która dostępna jest pod poniższym linkiem:
ICO wyznaczyło jednoroczny okres przejściowy, w którym podmioty z rynku usług online są zobowiązane do wdrożenia zasad wynikających z kodeksu. Począwszy od 2 września 2021 r. kodeks będzie więc oficjalną wytyczną interpelacyjną przepisów RODO w trakcie kontroli przeprowadzanych przez ICO na terytorium Wielkiej Brytanii.
Pomimo że kodeks posiada ograniczone zastosowanie terytorialne, może wkrótce stać się wzorem dla innych europejskich urzędów ochrony danych osobowych w zakresie usług online i ochrony danych osobowych dzieci. Postanowienia kodeksu są trafne, kompleksowe i w sposób praktyczny równoważą interes dzieci z interesami usługodawców. Pozostaje więc jedynie mieć nadzieje, że wkrótce UODO pójdzie śladami brytyjskiego ICO i wprowadzi na polskim rynku analogiczne zasady.
Pełna treść kodeksu jest dostępna pod poniższym adresem:
Bartosz Mysiak – radca prawny, praktyka własności intelektualnej.