General Data Protection Regulation (далее – GDPR или Регламент) содержит специальные положения, особым способом регулирующие правовое положение детей в рамках обработки персональных данных, в части усиления защиты персональных данных детей. На что обращать внимание при работе с персональными данными детей, если деятельность Вашей компании подпадает под действие Регламента, Вы сможете узнать из данной статьи.

Дети заслуживают особой защиты в отношении своих личных данных, поскольку они могут быть меньше осведомлены о рисках, последствиях и гарантиях их прав в отношении обработки персональных данных, поэтому необходимо обратить пристальное внимание на организационно-технические меры по защите персональных данных детей и адаптировать их таким образом, чтобы в полной мере обеспечить соблюдение прав детей в рамках действия Регламента.

Компаниям необходимо иметь законное основание для обработки персональных данных, которыми, напомним, являются: согласие на обработку, договорные отношения, законный интерес, жизненный интерес, общественный интерес. Для компаний, которые осуществляют обработку персональных данных детей, будут релевантны следующие основания обработки: согласие на обработку, договорные отношения, законный интерес, которые будут рассмотрены в рамках данной статьи.

Спецификой правовой защиты детей в рамках действия GDPR является факт того, что согласие на обработку данных ребенка должно быть авторизовано родителями (или законными представителями ребенка). Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно (от 13 до 16 лет), однако регламентом установлен порог в 16 лет, то есть данный порог применяется в случае, если национальным законодательском не предусмотрено иное. При ориентации на более широкие европейские рынки компаниям следует соблюдать возрастные ограничения, применяемые в каждом государстве-члене. Компаниям также следует приложить разумные усилия (используя имеющиеся технологии) для проверки лица, которое дает согласие и фактически несет родительскую ответственность за ребенка. Таким образом, необходимо запрашивать информацию о возрасте пользователя и предусмотреть техническую возможность для выражения согласия родителей и его последующего хранения.

При сборе персональных данных детей по основанию заключения договора, а также при получении согласия на обработку следует принимать во внимание способность детей сознавать правовые последствия заключения такой сделки или дачи соответствующего согласия. Собственникам бизнеса необходимо максимально упростить информацию так, чтобы дети могли понять, что происходит с их персональными данными в рамках заключаемого договора или дачи согласия на обработку персональных данных.

Таким образом, при обработке персональных данных ребенка:

• опираясь на согласие на обработку персональных данных, компании должны следить за тем, чтобы ребенок понимал, на что он соглашается и какие могут быть последствия; необходимо обеспечить наличие четких запросов о сборе персональных данных для детей, чтобы они могли понять, что будет с их персональными данными, и какие права у них есть;
• при обработке персональных данных по основанию заключения договора необходимо учитывать компетенцию ребенка, чтобы понять, каким образом он может оценить условия сделки и последние дачи своего согласия;
• при обработке в рамках законного интереса компаниям следует брать на себя ответственность за определение рисков и последствия обработки, а также устанавливать соответствующие меры защиты.

Рекомендации.

1. С самого начала организации системы защиты персональных данных в компании необходимо обратить внимание на то, каким образом будет обеспечиваться защита прав детей, в том числе в рамках принципов «privacy by design and by default». Если Вы обрабатываете персональные данные детей или думаете, что можете, то Вы должны учитывать необходимость их защиты с самого начала и разрабатывать свои системы и процессы с учетом этого.
2. Важно помнить о том, что дети имеют те же права, что и взрослые. К ним относятся, в частности, права на доступ к их персональным данным, право на забвение и др. (подробнее о правах пользователей согласно Регламенту можно узнать перейдя по ссылке). Таким образом, необходимо максимально упростить все организационно-технические меры по защите персональных данных так, чтобы их смог понять ребенок.
3. При получении согласия детей на обработку персональных данных компаниям следует использовать понятные для детей способы представления информации, в частности, диаграммы, мультфильмы, медиа-изображения и видео, информационные панели, многоуровневые уведомления, значки и символы. Следует объяснить в простой форме, почему компании нужны персональные данные и что Вы будете с ними делать. Будет плюсом объяснять детям риски, связанные с обработкой, и то, как компания намерена их защищать, чтобы и дети, и их родители могли в полной мере понимать все риски.
4. При сборе персональных данных в рамках маркетинговых целей, оценивать способность распознавать и критически оценивать цели обработки и возможные последствия предоставления детьми их персональных данных.
5. Необходимо осуществлять постоянный контроль за соблюдением организационно-технических мер в рамках защиты персональных данных. В случае обнаружения риска ненадлежащей защиты персональных данных проводить оценку воздействия защиты данных и внутренние аудиты.

По вопросам обеспечения соответствия деятельности Вашей компании требованиям GDPR, пожалуйста, связывайтесь с:

Евгений Ходькин

Управляющий партнер Юридической компании ЮКОН

e.khodzkin@ukon-by.com

Автор статьи: Юридическая компания «ЮКОН»