В сентябре в Великобритании вступили в силу правила (кодекс поведения) для онлайн-сервисов по отношению к детям (Age Appropriate Design Code 2020), с сентября 2021 правила станут обязательны к соблюдению администрациями сайтов, социальных сетей, а также компаниями-разработчиками пользовательских интерфейсов и самих сервисов, разработчиками программного обеспечения в том числе. Кодекс рассчитан на экстерриториальное действие, предполагается, что его должны соблюдать и иностранные компании.
Британский кодекс инновационен, в законодательстве других государств отсутствуют аналогичные кодифицированные требования правовой охраны детей в Интернете.
Основная цель документа – защитить детей, использующих цифровые сервисы, а также дать им «благоприятную среду для учебы и развития».
Если сервис не обладает возможностью определения точного возраста своих пользователей, при создании онлайн-платформы ей следует ориентироваться на самую младшую возрастную категорию.
В документе приводятся рекомендуемые способы определения возраста пользователя, в частности: сообщения возраста самим пользователем, использование искусственного интеллекта, сторонние службы проверки возраста, т.н. ID, т.е. идентифицирующие документы (паспорт или другой документ, выдаваемый органами власти). Список не закрыт и может дополняться.
Режим защиты персональных данных в Великобритании основан на положениях закона о защите данных Data Protection Act 2018 (DPA) и общего регламента Европейского союза о защите данных (GDPR). Кодекс поддерживает соблюдение общих принципов, установленных этими нормативными правовыми актами, плюс устанавливает перечень специальных норм на основании статьи 123 DPA и пункта 38 преамбулы GDPR.
Кодекс содержит 15 принципов поведения для онлайн-сервисов.
- Действовать в интересах детей. Данный принцип должен учитываться в первую очередь при проектировании и разработке онлайн-платформ, к которым ребенок может получить доступ.
- Оценка воздействия на систему защиты данных, которая должна быть проведена для обеспечения безопасности данных детей.
- Соответствие возрасту пользователя. Необходимо использовать метод определения возраста пользователей и убедиться в эффективном применении стандартов поведения по отношению к детям.
- Прозрачность. Информация о конфиденциальности и другие опубликованные онлайн-платформой условия, политики и стандарты должны быть понятны ребёнка. Пользователям должны быть предоставлены подробные пояснения – используются их персональные данные.
- Недопущение использования данных во вред детям.
- Владельцы онлайн-платформ должны соблюдать опубликованные ими самими условия, политики и стандарты (в том числе политику конфиденциальности, возрастные ограничения, правила поведения и политику в отношении контента).
- Настройки по умолчанию должны иметь высокий уровень конфиденциальности.
- Сведение обрабатываемых [персональных] данных сводятся к минимуму. Пользователи должны иметь возможность управления объемом предоставляемых данных.
- Надлежащий обмен данными. Предоставление данных третьим лицам возможно только в интересах детей.
- По умолчанию настройки геолокации должны быть отключены (обратное возможно только при наличии обстоятельств, соответствующих принципу действия в интересах детей). Включённые настройки геолокации должны сопровождаться соответствующим значком на экране устройства, а в конце каждого сеанса использования онлайн-платформы отключаться по умолчанию.
- Родительский контроль. Ребёнок должен быть уведомлен о наличии функции родительского контроля.
- Профилирование. По умолчанию параметры профилирования пользователя, то есть определения его круга интересов и предпочтений, политических, религиозных взглядов и убеждений и т.д. должны быть отключены.
- Запрет провокации предоставления данных. Запрещено использовать технологии, побуждающие ребенка предоставлять излишний объём персональных данных.
- Подключаемые к Интернету игрушки и другие устройства (например, записывающие голос ребёнка плюшевые игрушки с микрофоном, детские фитнес-браслеты и т.д.) также должны соответствовать положениям кодекса.
- Инструменты для пользователя. Пользователям должны быть предоставлены инструменты для реализации своих прав на защиту данных, в том числе возможность подачи жалоб.
Положения кодекса будут обязательны к исполнению не только для вновь создаваемых, но и для существующих онлайн-платформ (на подготовку им даётся год).
Компании обязаны вести надлежащий учёт деятельности в области обработки данных. Учет деятельности в области обработки данных включает в себя: определение целей обработки данных, описание категорий обрабатываемых персональных данных, отчёт о фактах трансграничной передачи данных, в том числе описание гарантий безопасности механизма трансграничной передачи данных, порядок хранения данных, описание организационно-технических мер обеспечения безопасности данных.
Владельцы онлайн-платформ должны регулярно проводить оценку воздействия онлайн-платформ на защиту данных пользователей с обязательным включением в оценку вероятности доступа детей к онлайн-платформе, определения их возраста и мер, предпринимаемых для соблюдения положений кодекса.
Уполномоченный по защите информации, являющийся независимым надзорным органом по защите информации в Великобритании, будет осуществлять контроль соответствия онлайн-платформ положениям кодекса путём выездных и камеральных проверок, рассмотрения жалоб пользователей. Уполномоченный по защите информации имеет право выносить предупреждения, применять меры воздействия в виде немедленного прекращения деятельности компании или наложения штрафа в размере до 20 миллионов евро или 4% от годового мирового оборота компании (в зависимости от того, какая сумма больше).
