Jogszabály a gyermekek online adatvédelméért
Az Egyesült Királyság Adatvédelmi Hivatala (ICO) augusztus 12-én jelentette be, hogy az „Age Appropriate Design Code” (Törvény) átment a parlamenti szavazáson, és szeptember 2-án hatályba lép. A Törvény 15 pontot tartalmaz az online felületek és szolgáltatások kialakításával kapcsolatban, hogy azok gyermekek számára is megfelelő biztonságot adjanak. A törvényjavaslatot még 2019 áprilisában kezdte el tárgyalni a parlament, és hatályba lépésétől számítva 12 hónap áll majd rendelkezésre, hogy a vállalkozások és szoltáltatások meghozzák a megfelelő intézkedéseket, hogy minden tekintetben megfeleljenek annak. Nagy előrelépés lehet ez az online adatvédelem terén.
Elizabeth Denham, az ICO vezetője a Törvény előszavában röviden vázolja, miért tartották fontosnak a szabályozás létrehozását. A jelenlegi online térben, ahogy valaki meglátogat egy weboldalt vagy használni kezd egy online szolgáltatást, azonnal elkezdődik az adatainak begyűjtése. Ezeket az adatkezelők aztán arra használják, hogy további szolgáltatások használatára ösztönözzék a felhasználót, vagy rá szabott hirdetéseket juttassanak el hozzá.
Az ICO álláspontja szerint ez nem biztonságos tér a gyermekek számára. A Hatóság haladni kíván a korral és nem az a célja, hogy a gyermekeket megvédje az online tértől, hanem hogy azon belül védelmezze őket.
Az ICO kutatásai szerint az internethasználók különösen fontosnak tartják a gyermekek online védelmét. A Hatóság párbeszédet folytatott az ENSZ gyermekvédelmi csoportjával (UNCRC) és számos piaci szereplővel a Törvény kialakítása előtt. Ennek célja az volt, hogy a Törvény hatásos, arányos és elérhető célokat tartalmazzon. A később felsorolt 15 pont ennek megfelelően kellőképpen flexibilis, nem tilt, vagy ír elő semmit konkrétan; javaslatokat tartalmaz arra vonatkozóan, hogy a szolgáltatások mindig a gyermekek érdekét tartsák szem előtt.
A Hatóság vezetője végül megjegyzi, hogy 12 hónap áll rendelkezésre az átállásra, mely alatt folyamatosan segítséget kívánnak nyújtani a cégeknek. Ezzel kapcsolatban az ICO már közzé is tett egy kisegítő cikkgyűjteményt, mely tartalmazza a gyakrabban felmerülő problémákra a választ. Ezt az adatbázist a jövőben is folyamatosan fejleszteni kívánják. A törvény külön részt szentel az EU-ból való kilépéssel kapcsolatos változásoknak is – ezzel kapcsolatban az ICO egyébként már adott ki külön tájékoztatást.
Az alábbiakban sorra vesszük a Törvény 15 pontját, rövid összefoglalókkal ellátva:
1. A gyermekek érdekeinek elsődlegessége
Ennek meghatározásakor az ICO az UNCRC definícióját veszi alapul, mely szerint a gyermekeket érintő valamennyi intézkedés során a gyermek az elsődleges szempont. Nincs ez másként akkor sem, amikor a gyermek adatainak védelméről van szó.
A Hatóság itt pontonként utasításokat ad a betartandó adatvédelmi elvekről, mint például a gyermekek védelme a gazdasági vagy szexuális kizsákmányolás ellen. Megjegyzi, hogy ez nem jelenti, hogy a cégek a saját érdeküket nem érvényesíthetik, azonban a gyermekek érdeke minden esetben előbbre való.
2. Adatvédelmi hatásvizsgálatok
Aki adatvédelemmel foglalkozik, annak már nem meglepő, hogy számos – így például a kiskorúakat érintő – adatkezelés esetén a hatóság előzetes adatvédelmi hatásvizsgálatot kér. Az ICO itt is érthetően, 7 pontban magyarázza el egy ilyen hatásvizsgálat folyamatát, illetve az egyes lépésenként elvégzendő feladatokat. Minden olyan esetben el kell végezni a hatásvizsgálatot, amikor az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira. A Hatóság egy sablont is készített, melyet a cégek adatvédelmi tisztviselőjükkel együtt használhatnak.
3. Életkor szerinti alkalmazás
Az ICO itt arra gondol, hogy gyermekkorú felhasználók esetében a különböző korosztályoknak különböző igényeik vannak, melyeket az online alkalmazások tervezésekor figyelembe kell venni. Emellett azt is jelenti, hogy minden korcsoportnak meg kell kapnia a neki megfelelő védelmet személyes adataira vonatkozóan.
A Hatóság öt korosztályt határozott meg: 0-5, 6-9, 10-12, 13-15, 16-17; kiemelve, hogy természetesen ezek a számok nincsenek kőbe vésve, de jó kiindulópontok arra vonatkozóan, hogy miként lehet a gyermekkorú felhasználókat korosztályokra bontani. Online megállapítani egy gyermek életkorát már önmagában is igen nagy adatvédelmi kihívás, ezért ebben a pontban az ICO felsorol hat olyan módszert, melyet erre a célra javasolnak.
4. Átláthatóság
Itt természetesen a GDPR 5. cikk (1) bekezdés a) pontjáról van szó („jogszerűség, tisztességes eljárás és átláthatóság”), azonban a Hatóság idézi a Rendelet 12. cikkét is, mely szerint a tájékoztatást olyan módon kell megadni, hogy az az érintettek számára érthető legyen. Ennek érelmében, amikor gyermekek adatainak kezelésére kerül sor, az adatkezelőknek őket tisztán, és életkorukra való figyelemmel, érthető módon kell tájékoztatnia. Nagyon jó példa [kata]
Az ICO javaslata extra, rövid magyarázatok elhelyezése a beállítások mellé, melyek alapján az érintett gyermekek önálló döntést tudnak hozni, vagy kérdéseikkel a szülőkhöz/gondviselőkhöz fordulhatnak. Hasonló elvárások vonatkoznak a cégek szerződési feltételeire és közösségi szabályaira. A Hatóság itt is részletes javaslatokat ad a korábban meghatározott öt korosztályra vonatkozóan.
5. Az adatok káros felhasználásának tilalma
Itt olyan adatkezelésről van szó, amely a gyermek fizikai vagy mentális állapotát negatívan befolyásolhatja, illetve ami ellentétes a gyermek érdekeivel. Ilyen esetekben a Hatóság a már meglevő, gyermekek érdekében született szabályozásokra hívja fel a figyelmet mintegy irányadásként; például a TV csatornák, vagy online játékok korosztályos besorolását.
6. Irányelvek és közösségi alapelvek szerinti működés
Ez alatt a Hatóság azt érti, hogy a cégek tartsák be az általuk létrehozott és publikált feltételeket, illetve a felhasználóktól gyűjtött adatokat csak az előzetesen meghatározott célokra használják fel.
7. Gondosság az alapértelmezett beállítások meghatározásánál
A gyermekeket érintő szolgáltatások esetében az alapértelmezett beállításnak olyannak kell lennie, ami a lehető legnagyobb biztonságot nyújtja a gyermekeknek, minél kevesebb személyes adatuk felhasználásával.
A gyakorlatban a gyerekek egyszerűen elfogadják az alapbeállításokat, majd sosem változtatnak rajtuk. Ezért javasolja az ICO a „magas” adatbiztonsági alapbeállításokat, mellette pedig további védelmi intézkedéseket, pl.: külön figyelmeztetés beállítások módosításakor, beállítások megváltoztatása csak egyetlen alkalomra, szoftverfrissítés esetén a magas biztonsági beállítások megtartása.
8. Adattakarékosság
A gyermekekről a lehető legkevesebb adatot kell kezelni, mely a szolgáltatás működéséhez feltétlenül szükséges. A felhasználóknak külön választási lehetőséget kell nyújtani, hogy mely elemeket akarják használni, és csak az általuk választott funkciók működéséhez szükséges adatok kezelhetők, mindezt természetesen olyan stílusban, melyet a célzott korosztály is megért.
9. Adatmegosztás tilalma
A Törvény tiltja a gyermekek adatainak megosztását harmadik féllel, hacsak az adatkezelő nem tud alapos indokkal szolgálni annak szükségességéről. Amennyiben a cégek a 7. pontban található magas adatvédelmi biztonságot nyújtják, a kezelt adatok köre alaphelyzetben is már erősen limitált kell, hogy legyen. Mégis, előfordulhat, hogy az adatok megosztása szükséges lehet (pl. gyermekek védelme esetén), ilyenkor az adatkezelőnek meg kell bizonyosodnia róla, hogy az adatok címzettje is megfelel a GDPR-nak.
10. Geolokációs adatok kezelése
A műholdas helymeghatározás funkciójának alapesetben kikapcsolva kell lennie, hacsak az adatkezelő nem rendelkezik alapos indokkal annak használatára (a gyermek érdekeit szem előtt tartva). A gyermekek számára egyértelműen jelezni kell a funkció bekapcsolt állapotát, illetve az olyan funkcióknak, amelyek a gyermek tartózkodási helyét láthatóvá teszik mások számára, használat után automatikusan ki kell kapcsolniuk.
11. Szülői felügyelettel kapcsolat átláthatóság
A szülői felügyeletet támogató eszközök és szolgáltatások esetében a gyermeknek meg kell kapnia az erre vonatkozó tájékoztatást életkortól függően. Ha a szolgáltatás arra is alkalmas, hogy a szülő nyomon kövesse a gyermek online tevékenységét vagy tartózkodási helyét, abban az esetben ezt nyilvánvaló módon (kép-, hangjelzéssel, piktogrammal) a gyermek tudomására kell hozni. Az ICO itt szintén részletes útmutatót ad az általa meghatározott korcsoportokra.
12. Profilalkotás
A profilalkotási funkciók alapesetben legyenek kikapcsolt állapotban. Csak abban az esetben engedélyezhető profilalkotás, ha az adatkezelő bizonyítani tudja, hogy alapos oka van rá, illetve rendelkezik olyan intézkedésekkel, melyek megakadályozzák, hogy a gyermek olyan tartalomnak legyen kitéve, mely negatívan hatna fizikai vagy mentális állapotára.
13. Ösztönző technikák tilalma
Nem alkalmazhatók gyermekek esetében olyan módszerek, melyek őket arra bátorítanák, hogy feleslegesen osszanak meg magukról személyes adatokat, vagy kikapcsolják az adatvédelmi funkciókat. Az ICO itt korosztályonként lebontva számos példát hoz az elfogadható és nem elfogadható módszerekre.
14. Kapcsolódó játékok és eszközök
Az okosjátékok vagy okoseszközök olyan berendezések, melyek önmaguktól is képesek az internethez való csatlakozásra (pl.: fitness karkötő). Amennyiben az adatkezelő ilyen eszközt használ szolgáltatása nyújtása során, meg kell róla győződnie, hogy az eszköz is megfelel a Törvényben leírtaknak.
15. Online joggyakorlás elősegítése
Az adatkezelők kötelessége a személyes adatok kezelésével kapcsolatban olyan feltűnő és egyszerűen használható online lehetőség nyújtása, melyek segítségével a gyermekek gyakorolhatják adatvédelemmel kapcsolatos jogaikat és jelezhetik aggályaikat. Az ICO kiemeli, hogy ezeknek a jogérvényesítési eszközöknek is alkalmazkodnia kell az érintett gyermek életkorához, és részletes leírást nyújt az általa kiemelt öt korosztályra vonatkozóan.