En 
Nowe Prawo w UK - dotyczące serwisów online dla dzieci
Nowe Prawo w UK - dotyczące serwisów online dla dzieci - w tym także edukacji na odległość!
W dniu 11 czerwca 2020 r. Sekretarz Stanu przedstawił Parlamentowi Wielkiej Brytanii
"Kodeks postępowania odpowiedniego dla wieku" - A Children's Code
zgodnie z art. 125 ust. 1 lit. b) ustawy o ochronie danych 2018 (The Data Protection Act 2018).
ICO wydała kod w dniu 12 sierpnia 2020 r. I wejdzie on w życie w życie 2 września 2020 r. z 12-miesięcznym okresem przejściowym.
Dotyczy on ochrony danych osobowych w usługach online, takich jak aplikacje, gry online oraz strony internetowe (np. edukacja online) i sieci społecznościowe, do których prawdopodobnie będą miały dostęp dzieci.
Po zakończeniu okresu przejściowego, tj. od 2 września 2021 r. - organizacje powinny się do niego dostosować.
Kodeks jest pierwszym znanym tego rodzaju aktem, ale odzwierciedla on globalny kierunek regulacji, a podobna reforma rozważana jest przez Unię Europejską, USA i na świecie Organizację Współpracy Gospodarczej i Rozwoju (OECD).
"Kodeks Dziecięcy" określa 15 standardów projektowania polityki ochrony danych osobowych - dostosowanych do wieku użytkowników.
Nacisk kładziony jest na zapewnienie domyślnych ustawień, które zapewnią dzieciom najlepszy możliwy dostęp do usług online, przy czym domyślnie minimalizują gromadzenie i wykorzystywanie danych.
Gwarantuje również, że dzieci, które zdecydują się zmienić swoje ustawienia domyślne, otrzymają właściwe informacje, wskazówki i porady, zanim to zrobią, oraz odpowiednią ochronę w zakresie późniejszego wykorzystania ich danych.
Pojęcie dobra dziecka wywodzi się z Artykułu 3 Konwencji Narodów Zjednoczonych o prawach dziecka (UNCRC).
15 standardów:
1. Dobro dziecka: Podczas projektowania i rozwijania usług online, do których może mieć dostęp dziecko, należy przede wszystkim brać pod uwagę najlepszy interes dziecka.
2. Ocena ryzyka dla ochrony danych: wykonaj DPIA, aby ocenić i złagodzić zagrożenia dla praw i wolności dzieci, które mogą uzyskać dostęp do Twojej usługi. Weź pod uwagę różny wiek, możliwości i potrzeby rozwojowe i upewnij się, że Twoja ocena skutków dla ochrony danych osobowych jest tworzona zgodnie z tym kodeksem.
3. Ustawienia odpowiednie dla wieku: ustal wiek użytkownika i upewnij się, że skutecznie stosujesz standardy zawarte w tym kodzie.
4. Przejrzystość: Informacje dotyczące prywatności, które przekazujesz użytkownikom, oraz inne publikowane warunki, zasady i procedury muszą być zwięzłe, widoczne i jasnym językiem dostosowanym do wieku dziecka. Podaj dodatkowe, szczegółowe wyjaśnienia dotyczące sposobu wykorzystywania danych osobowych w momencie aktywacji.
5. Szkodliwe wykorzystywanie danych: Nie należy wykorzystywać danych osobowych dzieci w sposób, który okazałby się szkodliwy dla ich dobrego samopoczucia, lub który jest sprzeczny z branżowymi kodeksami postępowania, innymi przepisami regulacyjnymi lub radami rządowymi.
6. Zasady i standardy społeczności: Przestrzegaj własnych opublikowanych warunków, zasad i procedur (w tym między innymi polityki prywatności, ograniczeń wiekowych, zasad zachowania i zasad dotyczących treści).
7. Ustawienia domyślne: ustawienia muszą domyślnie zapewniać „wysoki poziom prywatności” (chyba że można wskazać ważny powód zastosowania innego ustawienia domyślnego, biorąc pod uwagę dobro dziecka).
8. Minimalizacja danych: zbieraj i przechowuj tylko minimalną ilość danych osobowych, których potrzebujesz, aby zapewnić te elementy usługi, w które dziecko jest aktywnie i świadomie zaangażowane. Daj dzieciom osobny wybór co do elementów, które chcą aktywować dodatkowo.
9. Udostępnianie danych: nie ujawniaj danych dzieci, chyba że możesz wykazać ważny powód, do zrobienia tego, nienaruszający dobra dziecka.
10. Geolokalizacja: Domyślnie wyłącz opcje geolokalizacji (chyba że możesz zademonstrować ważny powód, dla którego geolokalizacja ma być domyślnie włączona, biorąc pod uwagę dobro dziecka). Zapewnij dzieciom wyraźny znak, gdy śledzenie lokalizacji jest aktywne. Opcje, które powodują, że lokalizacja dziecka jest widoczna dla innych, muszą być domyślnie wyłączone pod koniec każdej sesji.
11. Kontrola rodzicielska: jeśli zapewniasz kontrolę rodzicielską, przekaż dziecku odpowiednie informacje na ten temat. Jeśli Twoja usługa online umożliwia rodzicowi lub opiekunowi monitorowanie aktywności dziecka w Internecie lub śledzenie jego lokalizacji, daj dziecku wyraźny znak, gdy jest ono monitorowane.
12. Profilowanie: w swoich ustawieniach domyślnie „wyłącz”profilowanie (chyba że możesz wskazać ważny powód, dla którego profilowanie ma być domyślnie włączone, biorąc pod uwagę dobro dziecka). Zezwalaj na profilowanie tylko wtedy, gdy masz odpowiednie środki, aby chronić dziecko przed wszelkimi szkodliwymi skutkami (w szczególności karmieniem go treściami, które są szkodliwe dla jego zdrowia lub samopoczucia).
13. Stymulacja: nie używaj technik stymulacji, aby skłonić dzieci do podania niepotrzebnych danych osobowych, bądź osłabienia lub wyłączenia ochrony prywatności.
14. Połączone online zabawki i urządzenia: jeśli zapewniasz podłączoną zabawkę lub urządzenie, upewnij się, że masz skuteczne narzędzia umożliwiające zgodność z tym kodeksem.
15. Narzędzia online: Zapewnij widoczne i dostępne narzędzia, aby pomóc dzieciom w korzystaniu z praw do ochrony danych i zgłaszaniu wątpliwości.
Jeśli przetwarzasz dane osobowe dziecka z naruszeniem GDPR, The Data Protection Act 2018 lub PECR, Information Commissioner's Office - jako jednostka nadzorująca stosowanie tego prawa może podjąć działania przeciwko Tobie.
ICO ma do dyspozycji:
wezwania, ostrzeżenia, nagany, nakazy egzekucyjne i grzywny (kary administracyjne).
W przypadku poważnych naruszeń zasad ochrony danych nałożyć może grzywnę w wysokości do 20 milionów euro (17,5 miliona funtów po wejściu w życie brytyjskiego GDPR) lub 4% Twojego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.
!!PAMIĘTAJ!!
W każdym przypadkiu kiedy przetwarzasz dane osobowe - musisz mieć ważną, zgodną z prawem podstawę dla każdej czynności przetwarzania.
Artykuł 6 GDPR określa sześć potencjalnych podstaw prawnych:
(a) Zgoda: osoba fizyczna (każda osoba powyżej 13 roku życia) wyraziła ważną zgodę na przetwarzanie jej danych osobowych w określonym celu (art.8 RODO (dostosowanego w sekcji 9 DPA 2018) i uzyskać zgodę rodziców w przypadku dzieci w wieku poniżej 13 lat)
(b) Umowa: przetwarzanie jest niezbędne do wykonania umowy zawartej z osobą fizyczną lub dlatego, że poprosiła Cię o podjęcie określonych kroków przed zawarciem umowy.
(c) Obowiązek prawny: przetwarzanie jest niezbędne do zachowania zgodności z prawem (z wyłączeniem zobowiązań umownych).
(d) Żywotne interesy: przetwarzanie jest niezbędne do ochrony czyjegoś życia.
(e) Zadanie publiczne: przetwarzanie jest niezbędne, abyś mógł wykonać zadanie w interesie publicznym lub dla swoich oficjalnych funkcji, a zadanie lub funkcja ma jasną podstawę prawną.
(f) Prawnie uzasadnione interesy administratora: przetwarzanie jest niezbędne dla Twoich uzasadnionych interesów lub prawnie uzasadnionych interesów strony trzeciej, chyba że istnieje dobry powód do ochrony danych osobowych osoby fizycznej, który jest nadrzędny wobec tych uzasadnionych interesów - w szczególności gdy jest ona dzieckiem.
Ponadto o podstawie praewnej przetwarzania masz obowiązek poinformować podmiot danych - przy pierwszej czynności, najczęściej - w przypadku serwisów online - będzie to formularz kontaktowy.
R.Pr.
Agata Mazur
www.ochronadanychosobowych.co.uk
Agata Mazur
Polski radca prawny oraz krajowy reporter w Europejskiej bazie danych GDPRHub w zakresie jurysdykcji Polskiej i Angielskiej. Moja kancelaria zajmuje się: - świadczeniem usług prawnych w zakresie prawa polskiego dla Polaków w UK - ochroną danych osobowych w dla firm działających w UK, - wsparciem dla Polaków wracających do Polski.
