W dniu 11 lutego 2020 r. z okazji Dnia Bezpiecznego Internetu[1], Prezes Urzędu Ochrony Danych Osobowych zwrócił szczególną uwagę na kwestię bezpiecznego korzystania z zasobów internetowych przez dzieci[2].
Komunikat Prezesa UODO
W komunikacie Prezesa Urzędu Ochrony Danych Osobowych wskazano, że dzieci mogą być szczególnie narażone na kontakt z nieznajomymi osobami, dostęp do niewłaściwych treści, wyłudzenia, kradzież tożsamości czy tzw. cyberbullying ze strony rówieśników. Wszystko na skutek udostępniania w Internecie ich danych osobowych lub obrazów przez nich samych lub rodziców (nawet kilka lat wcześniej).
W komunikacie organ nadzorczy podkreślił ogromną rolę i odpowiedzialność jaka spoczywa na rodzicach (przedstawicielach ustawowych dzieci), którzy powinni przede wszystkim:
- przed umożliwieniem dostępu do Internetu, wyraźnie wytłumaczyć dziecku zasady jego funkcjonowania, w tym w szczególności podkreślić, że nawet w cyfrowym świecie nikt nie jest anonimowy i korzystanie z Internetu pozostawia ślad;
- niezwłocznie reagować, gdy dochodzi do wycieku loginów i haseł do portalu internetowego,
w tym jak najszybciej zmienić hasło do takiego serwisu; - sami dbać o prywatność swoich dzieci.
Kodeks dobrych praktyk ICO
W ostatnim czasie ochrona bezpieczeństwa dzieci w Internecie jest tematem szczególnie istotnym nie tylko dla polskiego organu nadzorczego. Pod koniec stycznia 2020 roku brytyjski organ nadzorczy (Information Commissioner’s Office – „ICO”) opublikował na swojej stronie internetowej zestaw 15 standardów, które powinny być spełnione w usługach internetowych aby chronić prywatność dzieci (Kodeks postępowania w celu ochrony prywatności dzieci w Internecie – „Kodeks”)[3].
ICO podkreślił, że dzieci stanowią 20% wszystkich użytkowników Internetu w Wielkiej Brytanii, pomimo że sieć docelowo nie była zaprojektowana z myślą o nich. Zgodnie z badaniami przeprowadzonymi przez brytyjski organ ds. ochrony danych osobowych, również same dzieci nie aprobują dotychczasowych praktyk związanych z przetwarzaniem ich danych w Internecie. Określają je jako „niegrzeczne”, „wścibskie” i „nieco dziwaczne”.
Powyższy Kodeks określa standardy, jakie powinny być spełnione przez osoby odpowiedzialne za projektowanie, rozwój lub świadczenie usług online (np. aplikacje, zabawki połączone z Internetem, gry online tj. usługi, do których dzieci mają dostęp i gdzie dochodzi do przetwarzania ich danych osobowych).
Jak chronić (dane osobowe) dzieci
W przedmiotowym Kodeksie wskazano m.in., że:
- dobro dziecka powinno być najważniejsze przy projektowaniu i rozwijaniu usług online, a tym samym, ustawienia prywatności powinny być domyślnie ustawione;
- techniki zachęcające dzieci do osłabienia swoich ustawień prywatności (nudge techniques) nie powinny być stosowane;
- wszelkie ustawienia prywatności dotyczące geolokalizacji, powinny być domyślnie wyłączone oraz że za każdym razem, gdy dziecko uzyskuje dostęp do usługi, powinno być poinformowane (ostrzeżone) o wykorzystaniu danych geolokalizacyjnych oraz zachęcone do omówienia tego z zaufaną osobą dorosłą, jeśli nie rozumie, co oznacza komunikat;
- powinno zostać wskazane kiedy lokalizacja dziecka jest a kiedy nie jest śledzona (np. za pomocą wyraźnego symbolu widocznego dla użytkownika);
- przy tworzeniu aplikacji korzystających z geolokalizacji należy upewnić się, że śledzenia lokalizacji nie można ustawić przypadkowo lub przez pomyłkę;
- profilowanie, które może umożliwić dzieciom wyświetlanie ukierunkowanych treści, powinno być domyślnie wyłączone;
- nie należy wykorzystywać danych osobowych dzieci w sposób, który może okazać się szkodliwy dla ich samopoczucia lub który jest sprzeczny z branżowymi kodeksami postępowania, innymi przepisami lub poradami organów państwowych.
Jako przykład wskazano m.in. wytyczne Komitetu ds. Praktyki Reklamowej (The Committee of Advertising Practice) dotyczące internetowej reklamy behawioralnej, która oprócz przepisów mających zastosowanie do wszystkich reklam, w szczególności obejmuje reklamy dla dzieci, w tym m.in. traktuje o niemożliwości wykorzystywania łatwowierności dzieci i stosowania niesprawiedliwej presji czy zawiera zasady regulujące lub zabraniające wprowadzania do obrotu niektórych produktów, takich jak żywność o wysokiej zawartości tłuszczu, soli i cukru oraz napojów i alkoholu, dla dzieci;
- dziecku należy wyjaśnić czy jest prowadzona kontrola rodzicielska dla usługi oraz czy jest ono śledzone lub monitorowane;
- konieczne jest szczególne zabezpieczenie danych i spełnienie wymogów z RODO w przypadku oferowania zabawek, urządzeń podłączonych do Internetu, gdzie zakres gromadzenia i przetwarzania danych osobowych za pośrednictwem funkcji, takich jak kamery i mikrofony, jest znaczący i może rodzić szczególne ryzyka dla dzieci.
Zgodnie z informacją zamieszczoną na stronie ICO aktualnie trwa proces zatwierdzania Kodeksu przez Parlament. Następnie, po 12-miesięcznym okresie przejściowym dla organizacji niezbędnym dla aktualizacji swoich praktyk, Kodeks – zgodnie z oczekiwaniem ICO wejdzie w życie jesienią 2021 r.
[1] Dzień Bezpiecznego Internetu obchodzony jest co roku 11 lutego z inicjatywy Komisji Europejskiej, która ustanowiła go 2004 roku. Jego celem jest inicjowanie i propagowanie działań na rzecz bezpiecznego dostępu do zasobów internetowych dzieci i młodzieży. W Polsce od 2005 roku Dzień Bezpiecznego Internetu jest organizowany przez Fundację Dajemy Dzieciom Siłę (dawniej Fundacja Dzieci Niczyje) oraz Naukową i Akademicką Sieć Komputerową (NASK) – realizatorów unijnego programu „Safer Internet”.
[2] https://uodo.gov.pl/pl/138/1363 – artykuł opublikowany na stronie internetowej Urzędu Ochrony Danych Osobowych w dniu 11.02.2020 r.
[3] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/ico-publishes-code-of-practice-to-protect-children-s-privacy-online/.