Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) poinformował na swojej stronie internetowej, że stworzył kodeks postępowania dotyczący usług online świadczonych dzieciom. Zgodnie z brytyjską ustawą o ochronie danych osobowych z 2018 r., projekt został przekazany do Sekretarza Stanu, zaś od tego ostatniego do brytyjskiego Parlamentu. Kodeks – po przejściu tej drogi – wszedł ostatecznie w życie 2 września br. Dokument – w ocenie ICO – ma na celu zapewnienie lepszej ochrony danych osobowych dzieci. Podmioty świadczące usługi online mogą co prawda nadal udostępniać swoje aplikacje nieletnim, niemniej mają one 12 miesięcy na dostosowanie stosowanych rozwiązań do postanowień zawartych w kodeksie.
Stworzonego przez ICO dokumentu nie należy utożsamiać z kodeksami postępowania, o których mowa w art. 40 RODO (codes of conduct). Kodeks ICO (code of practice) jest dokumentem, do którego utworzenia brytyjski organ nadzorczy zobowiązany jest przez przepisy ustawy o ochronie danych osobowych z 2018 r. (art. 123 tej ustawy).
Zakres zastosowania
ICO wskazuje, że stworzony przez niego kodeks ma zastosowanie w szczególności do podmiotów projektujących, rozwijających lub udostępniających aplikacje, platformy mediów społecznościowych, gry online, usługi transmisji strumieniowej, interaktywne zabawki, jeśli wykorzystują, analizują i profilują dane osobowe osób poniżej 18 roku życia. Jego postanowienia obejmują podmioty mające siedzibę w Wielkiej Brytanii, jak również te spoza Wielkiej Brytanii o ile mają tam oddział, biuro lub zakład. Dokument ten ma również zastosowanie do przedsiębiorców spoza EOG, jeżeli oferują oni określone usługi użytkownikom brytyjskim, do którym prawdopodobnie mają dostęp dzieci.
Standardy ochrony danych
Jak zapewnia ICO, celem kodeksu jest ustalenie pewnych standardów ochrony danych osobowych dzieci w usługach społeczeństwa informacyjnego. Stawia on na pierwszym miejscu najlepiej pojęty interes dzieci już na etapie projektowania, ale także – później – w momencie świadczenia usług online, do których mogą mieć dostęp nieletni.
Kodeks zawiera piętnaście standardów, które muszą zostać wdrożone w celu zapewnienia, że usługi skierowane do dzieci zapewniają odpowiednią ochronę ich danych osobowych. Dokument ten – jak podkreśla ICO – nie jest nowym prawem, ale wyznacza on odpowiednie standardy i wyjaśnia w jaki sposób RODO ma zastosowanie w kontekście dzieci korzystających z usług cyfrowych. Jak zapewnia brytyjski organ nadzorczy, finalna wersja kodeksu jest wynikiem zaawansowanego procesu konsultacji, który obejmował rozmowy z rodzicami, dziećmi, szkołami, grupami kampanii dziecięcych, programistami, firmami technologicznymi oraz dostawcami gier i usług online.
Domyślna ochrona danych osobowych dzieci
Dokument stworzony przez ICO koncentruje się na zapewnieniu domyślnych ustawień, które umożliwią dzieciom najlepszy możliwy dostęp do usług online, jednocześnie minimalizując gromadzenie i wykorzystywanie ich danych osobowych. Kodeks zobowiązuje usługodawców, aby ustawienia domyślnie miały „wysoki poziom prywatności”. Gromadzenie i dalsze przetwarzanie danych osobowych dzieci powinno ograniczać się natomiast do minimum. Kodeks zakłada, że co do zasady dane osobowe dzieci nie powinny być udostępniane zaś usługi geolokalizacyjne powinny być domyślnie wyłączone. Jednocześnie zabrania on zachęcania dzieci do podawania niepotrzebnych danych osobowych, zmniejszania lub wyłączania ustawień prywatności. Kodeks zawiera także postanowienia dotyczące kontroli rodzicielskiej i profilowania.
Popularna aplikacja może być dostępna również dla dzieci poniżej 13 roku życia
Proporcjonalne podejście ICO
W Kodeksie wskazane jest, że brytyjski organ nadzorczy przyjmie proporcjonalne i odpowiedzialne podejście do egzekwowania prawa, koncentrując się na obszarach, które mogą powodować największe zagrożenia dla ochrony danych osobowych dzieci. ICO zapowiedział, że rozważając jakiekolwiek działania nadzorcze, będzie brać pod uwagę wielkość i zasoby danej organizacji, dostępność rozwiązań technologicznych na rynku oraz ryzyko dla dzieci nieodłącznie związane z przetwarzaniem ich danych osobowych.
Brytyjski regulator przewidział 12-miesięczny okres przejściowy, aby dać dostawcom usług online czas na dostosowanie się do postanowień Kodeksu. Zapewnił on równocześnie, że udostępni pakiet wsparcia, który pomoże usługodawcom wdrożyć postanowienia Kodeksu.
Źródło: