Децата и младите хора, като субекти на данни, са „уязвима” категория лица в сравнение с останалите физически лица и поради тази причина се нуждаят от специална защита на техните права. Тъй като децата и младите хора днес все повече живеят живота си в дигитална среда, от изключителна важност е техните свободи и права да бъдат защитени там, така както във физическия свят. Настоящият информационен материал има за цел да подпомогне практическото прилагане на изискванията за защита на личните данни в контекста на безопасността на децата и борбата с потенциална злоупотреба при обработване на личните им данни в онлайн среда. Същият няма задължителен характер и не претендира за изчерпателност.
Като отчита приложимите международноправни документи за закрила на децата, с настоящата брошура Комисията за защита на личните данни обобщава международния опит и практика при обработването на лични данни на деца и защита на техните права при работа в дигитални платформи. Обобщените принципи и стандарти, изброени по-долу, се отнасят както до самите деца, като субекти на данни, така и до техните родители и другите участници в дигиталния свят и икономика (напр. доставчиците на онлайн услуги).
ПРИНЦИПИ
1. Най-добрият интерес на детето – всички действия, отнасящи се до деца в дигитална среда, следва да се подчиняват на принципа за най-добрия (най-висшия) интерес на детето, тъй като той е от първостепенно значение.
2. Способностите на децата за постепенно развитие – различните деца достигат различни нива на зрялост на различна възраст. За да се оцени нивото на зрялост на детето, трябва да бъдат взети предвид неговата възраст и способност за развитие (психическо, физическо и емоционално).
3. Забрана за дискриминация – децата трябва да се ползват от всички свои права без дискриминация по какъвто и да било признак.
4. Минимален стандарт за защита – доставчиците на онлайн услуги следва да осигурят и приложат минимално ниво на защита за всички свои потребители, освен ако не предприемат подход, основан на риска, за да проверят възрастта на своите потребители, така че всички принципи и стандарти да се прилагат и за всички операции по обработване на лични данни на деца.
5. Достъп до цифровата среда – частните и публичните заинтересовани страни трябва да действат отговорно и да осигурят необходимите безопасни и сигурни цифрови системи за защита на личната неприкосновеност. Разработчиците и потребителите на цифрови инструменти и услуги трябва да се придържат към действащите правила за защита на децата и младите хора.
Достъпът и използването на цифровата среда са важни за реализирането на правата и основните свободи на децата, за тяхното включване, образование, участие и за поддържане на семейните и социалните взаимоотношения. Ако децата нямат достъп до цифровата среда или когато този достъп е ограничен в резултат на лоша свързаност, способността им да упражняват в пълен обем своите човешки права може да бъде засегната.
6. Свобода на изразяване и информация – предоставянето на информация за правата на детето е особено важно. Каквито и да било ограничения на правото на децата на свобода на изразяване и информация в цифровата среда следва да бъдат в съответствие с международните и европейските конвенции по правата на човека и произтичащите от тях стандарти.
7. Ясно очертани граници на съгласието за обработване на данни – когато детето се съгласява с обработването на неговите данни, това съгласие трябва да бъде дадено свободно, конкретно, информирано и недвусмислено, чрез ясно изявление или утвърдително действие (чл. 4, т.11 и чл. 7 от Регламент (ЕС) 2016/679). За да бъде валидно съгласието, дадено от дете във връзка с пряко насочени към него услуги на информационното общество (напр. социални медии, блогове, интернет форуми, платформи за споделяне на видео, програми за чат, онлайн игри, приложения с игри или друго съдържание), то трябва да е навършило 14 години. За децата под тази възраст съгласието се предоставя от родителя/настойника (чл. 25в от ЗЗЛД, чл. 8 от Регламент (ЕС) 2016/679). Достатъчно е съгласието само на един от носителите на родителски права – съгласието на другия родител се предполага. Превантивните или консултантските услуги, предлагани директно на деца, са освободени от изискването за съгласие на родителите, тъй като децата трябва да могат да търсят съвет или подкрепа, без родителите им да знаят и това е в най-добрия интерес на детето.
8. Нулева намеса – ако даден доставчик на услуги в дигитална среда, разчита на легитимни интереси като законово основание за обработката на лични данни на деца, той трябва да гарантира, че тези законни интереси не пречат, не противоречат или не влияят неблагоприятно на нито един етап от обработването, спазвайки принципа за най-добрия интерес на детето.
9. Познаване на своята аудитория – доставчиците на онлайн услуги трябва да предприемат стъпки, за да идентифицират своите потребители и да гарантират, че услугите, насочени към, предназначени или които е вероятно да бъдат достъпени от деца, прилагат ефективно на практика специфични мерки за защита на данните, конкретно насочени за деца.
10. Предоставяне на информация във всички случаи – децата имат право да получават информация относно обработката на техните лични данни (информацията, която администраторът дължи на децата, е посочена в чл. 13 и чл. 14 от Регламент (ЕС) 2016/679), независимо от правното основание, на което се основава обработването. Такъв е дори случаят, когато родител е дал съгласието си от името на своето дете за обработка на неговите лични данни. Информацията трябва да бъде предоставена както при събиране на личните данни, така и по искане на субекта на данните (чл. 12 – чл. 15 от Регламент (ЕС) 2016/679).
11. Прозрачност, ориентирана към децата – информацията за това как администраторите използват личните данни трябва да бъде предоставена по кратък, прозрачен, разбираем и достъпен начин, като се използва ясен и прост език, който е лесен за разбиране и подходящ за възрастта на детето (чл. 12 – 14 от Регламент (ЕС) 2016/679).
12. Да оставим децата да кажат своето мнение – правото на всяко дете да бъде чуто и да се изкаже свободно по всички въпроси, които го засягат, трябва да бъде гарантирано. На изказаното от него мнение следва да се отдаде дължимото уважение, като във всички случаи се отчитат неговата възраст и зрялост.
13. Съгласието не променя детството – само защото даден администратор (доставчик на дигитални услуги) разполага с валидно съгласие от дете или от негов родител/настойник за обработване на личните му данни, не означава, че той може да се отнася към детето като към възрастен. Този администратор е длъжен да осигурява специфичната защита, която децата заслужават съгласно Регламент (ЕС) 2016/679 (съображение 38 от Регламент (ЕС) 2016/679).
14. Вашата платформа, Вашата отговорност – когато компания извършва проверка/верификация на възрастта и/или разчита на родителско съгласие за обработка на данните на дете, от нея се очаква да положи допълнителни усилия, за да докаже, че мерките ѝ за проверка на възрастта и на родителското съгласие са ефективни (чл. 5, пар. 2 от Регламент (ЕС) 2016/679).
15. „Не изключвайте” децата-потребители и не подценявайте/не занижавайте техния опит – този стандарт, насочен към доставчиците на онлайн услуги, указва, че ако дадена услуга е насочена към, предназначена или има вероятност да бъде достъпена от деца, тези доставчици не могат да заобиколят задълженията си в областта на защитата на личните данни просто като изключат децата от кръга на потребителите или ги лишат от богатството на изживяването на услугата.
16. Минимално допустимата възраст на потребителите не е извинение –доставчиците на услуги онлайн не могат да се освободят от отговорностите си на администратор на лични данни по отношение потребителите – деца, като просто заявят, че деца под определена възраст не са добре дошли в съответната платформа/услуга или че не носят отговорност, ако деца я достъпят. Ако съответната услуга не е предназначена за деца под определена възраст, администраторите трябва да предприемат стъпки, за да гарантират, че механизмите им за проверка на възрастта са ефективни за предотвратяване на достъп на деца под въпросната възраст.
Методите за възрастова проверка следва да бъдат съобразени и пропорционални на идентифицираните от достъпа до услугата/обработването на данните рискове за правата и свободите на детето (напр. доставчиците на платформи за споделяне на видео са задължени да предприемат подходящи мерки, за да гарантират, че дете няма да достъпи съдържание, което е вредно за него и/или е забранено по закон, напр. реалистично изображение на насилие, незаконни заплахи, подбуждане към бунт, агитация срещу етническа или национална група и детска порнография). Удостоверяването на допустимата възраст трябва да става при стриктно спазване на принципа „свеждане на данните до минимум”. Не събирайте данни с цел проверка на възрастта във всички случаи, а само когато това е необходимо – с оглед естеството на услугатаи и дентифицираните рискове за децата!
Целта на изискването за верифициране на възрастта на потребителя е да се установи, че той е над 18 години, а не да се установи точната възраст на дете. Ако не е възможно верифицирането на възрастта, доставчиците трябва да гарантират, че са въведени подходящи мерки за защита на данните, за да бъдат защитени децата като категория потребители, както под, така и над официалния възрастов праг на потребителите. В определени случаи е удачно администраторът да предоставя две версии на своите услуги: една, предназначена за деца и друга – за възрастни.
17. Забрана за профилиране – по принцип профилирането е вредно за децата и затовато трябва да бъде изключено по подразбиране, освен ако не е от същностно значение и условие за предоставяне на услугата или има убедителна причина да бъде включено (напр. цел гарантиране на възрастта на потребителите-деца). И в този случай обаче следва да се преценяват рисковете за правата и свободите на децата, при отчитане на техния най-добър интерес.
18. Вградете защитата! – доставчиците на онлайн услуги, които редовно обработват лични данни на деца, трябва по проектиране и по подразбиране да имат постоянно високо ниво на защита на данните, което е „вградено” в техните услуги. Още при проектирането на ИТ системи и процедури е необходимо да се вземат предвид мерки като минимизирането на данните и други аспекти на защитата на неприкосновеността с цел ефективно прилагане на чл. 25 от Регламент (ЕС) 2016/679. Защитата на данните трябва да бъде навременно интегрирана и включена в работните методи на администратора.
19. Неприкосновеност и защита на личните данни – децата имат право на личени семеен живот в дигиталната среда, което включва защита на личните им данни и зачитане на неприкосновеността на тяхната кореспонденция и лична комуникация. Съответните заинтересовани страни, по-специално тези, които обработват лични данни, но също и връстници на детето, родители или полагащи грижи, и възпитатели, следва да са запознати и да зачитат правото на детето на неприкосновеност и защита на данните.
• Споделяне на лични данни с трети лица – споделянето на лични данни с трети страни може да бъде разрешено в някои случаи, а в други не. Приложимите правила в конкретен случай зависят от целта, за която първоначално са били събрани данните.
• Данни за геолокация – това, което е в най-добрия интерес на детето, може да варира в зависимост от ситуацията, но като основно правило не трябва да се използват данни, уточняващи местоположението на децата и младите хора. Данните за геолокация (данни за местоположение) могат да дадат информация относно географското положение на мобилен телефон или таблет в даден момент. Те правят възможно формирането на заключения относно личния живот на тези, към които се отнасят данните, като навиците им, това къде живеят, местата, които посещават, техните движения, дейности и социални взаимоотношения. Затова данните за местоположението се считат за много чувствителни по отношение на неприкосновеността на личността. Като цяло, рисковете от нарушаване на тази неприкосновеност се увеличават с количеството достъпни данни и степента на тяхната прецизност, тъй като позволяват по-подробно картографиране на съответното засегнато лице, за което се отнасят.
20. Защита на децата от вредно медийно влияние – УНИЦЕФ разглежда рисковете онлайн (т.нар. дигитални опасности), като ги класифицира в три категории: съдържание, контакт, поведение.
– Рискове по отношение на съдържанието: когато детето е изложено на неподходящо съдържание; такова съдържание включва сексуални, порнографски изображения или такива с насилие; някои форми на реклама; материали с расистко, дискриминационно съдържание или съдържание с езика на омразата (hate speech); интернет сайтове, които проповядват нездравословно или опасно поведение, като самонараняване, самоубийство или различни хранителни разстройства (анорексия, булимия и др.);
– Рискове, свързани с контакт: когато детето участва в рискова комуникация (напр. свъзрастен, който търси неподходящ контакт с детето или за използването му за сексуални цели, или при контакт с възрастни, които се опитват да радикализират детето или да го убедят да участва в нездравословно или опасно поведение);
– Рискове на поведението: когато поведението на детето способства за възникване на някой от другите рискове – рисково съдържание или рисков контакт (напр. детето пише или създава материали за други деца, като използва език на омразата, като подбужда към расизъм, публикува или разпространява образи със сексуално съдържание, вкл. на материали, които децата сами са създали).
• Мерки за защита на децата от вредно медийно влияние – в законодателството и саморегулирането. Подходящи инструменти за защита на децата от вредно медийно влияние са и кодексите за поведение, използвани например за борба с омразата в интернет, както и доброволни споразумения със заинтересованите страни от бизнеса, като етични правила относно необходимостта от специално внимание в маркетинговите комуникации, насочени към деца и млади хора.
• Различни нива на зрялост – когато се решава кое съдържание е вредно, се взема предвид емоционалната и интелектуална зрялост на децата, която се развива непрекъснато.
• По-уязвими от другите – някои деца са изложени на по-голям риск от засягане от вредно медийно влияние. Деца с невропсихични увреждания обикновено използват медиите по-често от средното.
• „Рискът от излагане на децата също е фактор, който трябва да се има предвидпри създаването на дигитална среда, в която има деца.” – децата с интелектуални затруднения също съобщават в по-голяма степен, че някой е бил злобен с тях в интернет.
• Право на изтриване, вкл. във връзка с борбата със заплахите и омразата – изтриването трябва да бъде извършено незабавно, ако детето го поиска и е навършило възрастта, необходима за контрол на собствените данни, дори ако първоначално съгласието е било предоставено от неговия родител/настойник.
• Онлайн инструменти – всички механизми, използвани за подпомагане на лицата да упражняват лесно правата си, когато са активни онлайн. Децата и младите хора имат свои собствени права, които се считат за достойни за специална защита.
• Побутване (nudging) – цифровото побутване е термин, който често се използва, за да опише как уебсайтът може да насочва избора на потребителите чрез „дизайна на изживяването”. Технологията на проектиране като такава обикновено не е проблем, проблемът е как се използва тя. Побутването може да се използва по начини, които са напълно съвместими с принципите за защита на данните и с правата на децата и младите хора, когато се използва за насочване на потребителите към алтернативата, която им осигурява най-силна защита на неприкосновеността.
• (Интернет) Свързани играчки – на потребителите трябва да бъде предоставена ясна информация, че продуктът обработва лични данни (напр. глас, физическа активност и др.), преди закупуването на продукта, респ. преди инсталирането му. Това може да се направи както върху опаковката на физическия продукт, така и в инструкциите за употреба, например с помощта на икона, показваща, че продуктът е свързан с интернет и обработва личните данни на потребителя. Потенциалните купувачи трябва да могат да четат политиката за поверителност на продукта, условията за използване и друга подходяща и адаптирана информация онлайн, без първо да се налага да купуват. Когато става въпрос за играчки за деца, още по-важно е информацията да е проста и ясна.
21. Изводи и препоръки:
21.1. Към разработчиците и доставчиците на цифрови услуги с цел осигуряване на безопасна и полезна цифрова среда за децата:
– Изследванията в дигитална среда да се предприемат отговорно в съответствие с принципите за защита на данните, които включват защита на неприкосновеността на децата, минимизиране на данните и ограничаване на целта;
– Да прилагат, като принцип за защита на етапа на проектирането, подход за безопасност на децата при проектирането или при предоставянето на съответните дигитални услуги;
– Да създадат гаранции и да вземат предпазни мерки по отношение на неприкосновеността на децата, защитата на техните данни и търговското използване на тези данни; и
– Да демонстрират и доказват отчетност. Тежестта на доказване винаги се носи от администратора на лични данни (чл. 5, пар. 2 от Регламент (ЕС) 2016/679).
21.2. Към родителите:
– Да се насърчават децата да упражняват правата си – децата могат да упражняват собствените си права в областта на защитата на личните данни директно, при условие че това може да се разглежда като „рутинно действие” и особено, ако е в най-добрия интерес на детето. Поради това децата трябва да могат да упражняват собствените си права в тази област по отношение на социални мрежи, игри и платформи за споделяне на видео. Те трябва да разберат какви са механизмите и съответните процедури за подаване на жалби и средствата за защита, ако счетат, че правата им са нарушени. Информацията за това трябва да бъде адаптирана съобразно възрастта на децата (напр. прости диаграми, илюстрации, графики или движещи се картинки), в допълнение към писмената информация, за да стане тя по-интересна и достъпна. Способността на децата да действат автономно не отменя правото на родителите да упражняват същите права от името на своите деца и да предоставят подкрепа по време на целия процес.
– Да се насърчи упражняването на родителски контрол, който зачита неприкосновеността и най-добрия интерес на детето. Инструментите за родителски контрол се отнасят до различни цифрови решения, които дават на родителите или настойниците възможността да ограничат или контролират това, което децата и младите хора могат да правят онлайн (вкл. споделянето на лични данни). Тези инструменти са важни, тъй като могат да се използват за подкрепа на възрастните при защитата и насърчаването на най-добрия интерес на детето.
Въпреки че става въпрос за взаимоотношения в личната сфера и за семейни отношения е силно препоръчително родителският контрол да отговаря на правилата за защита на данните, и по-специално на:
• принципът на пропорционалност, като се вземат предвид интересите, възрастта и степента на зрялост на детето и избягване на използването на натрапчиви функции като постоянно проследяване;
• принципът на прозрачност спрямо детето чрез ясно обяснение кои родителски контроли се използват;
• принципът на сигурност на данните на детето, за да се гарантира, че трети страни нямат достъп до информация за детето (напр. данни за геолокация на детето).
Прилагането на инструменти за родителски контрол трябва да зачита изискването децата да не бъдат контролирани или подлагани на произволни или незаконни посегателства върху личния и семейния им живот.
– Информиране на детето – ако администраторът предлага инструменти за родителски контрол, трябва да се предостави на детето информация, подходяща за възрастта, за тези инструменти. Това може да стане чрез символи или икони, показващи на детето кога се извършва наблюдението.
СЪВЕТИ КЪМ АДМИНИСТРАТОРИ
За да обработва лични данни на деца администраторът трябва да разполага с правно основание за това, а самото обработване следва да се подчинява на принципите по чл. 5 от Регламент (ЕС) 2016/679. С цел осигуряване на специална защита на децата онлайн, Комисията за защита на личните данни отправя следните съвети и препоръки към администраторите – създатели на дигитални платформи и доставчици на дигитални услуги, които се ползват от деца:
1. При всички решения онлайн винаги трябва да се ръководите от най-висшия интерес на детето!
2. Избягвайте да се позовавате на своя легитимен интерес като основание за обработванена данни на деца! Може да прибегнете до това правно основание, само ако Вашият легитимен интерес съвпада с най-добрия интерес на детето!
3. Ако искате да използвате личните данни на деца и младежи за маркетингови цели (напр. банери, рекламни слотове на видео споделяне на платформи или игри), винаги трябва да отчитате съвпада ли Вашето правно основание с най-добрия интерес на детето. Детето трябва да може да разбере кое е реклама и кое не – рекламата не трябва да бъде проектирана под формата на игра и не трябва да бъде вградена в онлайн игри, така че детето да не може да различи рекламата от играта.
4. За да се позовете на съгласието на децата като основание за обработване на техни данни, трябва да сте сигурни, че то отговаря на изискванията за съгласие на деца (чл. 4, т. 11, чл. 7 и чл. 8 от Регламент (ЕС) 2016/679), като едновременно с това:
• искането за съгласие е ясно формулирано и отделно от други условия за ползване на услугата онлайн;
• не поставяте изискване към потребителите, че даването на съгласие за обработване на данните им е предпоставка/условие за получаване на услугата;
• разполагате с технически решения, които гарантират, че ако съгласието бъде оттеглено, личните данни могат да бъдат незабавно изтрити след оттеглянето му;
• осигурите отделно съгласие за всеки отделен случай на обработка на лични данни (обработване за различни цели).
5. Използвайте като изходна позиция за Вашите услуги (позиция по подразбиране) „повишена поверителност” или „висока неприкосновеност”:
• употребата на личните данни на деца трябва да е ограничена само до това, което е от съществено значение за предоставяне на основната услуга онлайн (напр. създаването на акаунт и използването на сайт за онлайн игри), като всички допълнителни функции (напр. геолокацията) трябва да са деактивирани по подразбиране;
• личните данни на децата могат да са видими или достъпни за други потребители на услугата, само ако детето промени настройките си, за да позволи видимост и достъпност.
6. Разработваният/предлаганият от Вас интерфейс трябва да бъде изграден на принципа на „активния положителен избор” (напр. отметка в квадратче). Мълчанието или бездействието на потребителя онлайн не представляват активен избор. Незаконно е използването на:
• предварително маркирани квадратчета (съгласие по подразбиране);
• технически решения, при които лицето трябва да маркира самò, че не дава съгласието си;
• технически решения от типа „ако не изберете опция, приемаме, че сте съгласни”;
• неясно или общо (за различни цели и услуги) съгласие.
7. Не използвайте подвеждащ и манипулативен дизайн! Настройките за поверителност трябва да се променят лесно, а някои опции, като геолокация, трябва да бъдат деактивирани по подразбиране.
8. Проектирайте и използвайте дизайн на дължимата за дигиталната услуга информация, който и най-малките по възраст потребители (при различни възрастови категории деца) могат да разберат. Децата трябва да могат да разберат за какво се съгласяват. Отговорността да докажете това е Ваша!
9. Предложете онлайн инструменти за изтегляне, изтриване, ограничаване или коригиране на лични данни или за подаване на жалба, за да се ориентират децата по-лесно как да упражняват своите права.
10. Ако обработването на лични данни на деца от Ваша страна е във връзка с пряко предлагане на услуги на информационното общество, то Вие задължително трябва да извършите оценка на въздействието върху защитата на данните, независимо от оценката на риска, която сте извършили преди това
(чл. 35, пар. 4 от Регламент (ЕС) 2016/679; https://www.cpdp.bg/?p=element&aid=1186).
11. Правете периодичен преглед на предоставяните от Вас дигитални услуги и свързаната с тях оценка на въздействието върху защитата на данните, за да отчитате своевременно развитието на информационните технологии и практики!
12. Когато се проектират (интернет) свързани играчки е необходимо да се вземе предвид следното:
• да се направят лесни стандартните настройки за поверителност;
• да се избягва пасивното събиране на лични данни, а ясно да се посочва и показва кога устройството събира такива данни. Това може да стане под формата на „светване”, когато устройството записва изображения и звук или по друг начин събира лични данни;
• трябва да е лесно да се изключи режимът „събиране на данни” от устройството, например чрез поставяне на бутон „офлайн” директно върху устройството или чрез предоставяне на онлайн функции за това. Би трябвало да е възможно да се използват играчката или устройството във възможно най-голяма степен, без да се налага свързване с интернет;
• да се даде възможност за създаване на различни потребителски профили, които могат да бъдат адаптирани към възрастта на потребителя.
СЪВЕТИ КЪМ РОДИТЕЛИ
Предоставените по-долу съвети и препоръки към родителите имат за цел да ги подпомогнат в подкрепата, която трябва да оказват на децата си в дигиталната среда, при зачитане на неприкосновеността на личния живот и най-добрите интереси на детето:
1. Достъпът на Вашето дете до услуги онлайн е свързан с обработването на негови лични данни. Какви точно лични данни се събират и съхраняват от доставчиците на дигитални услуги зависи от естеството на предоставяната онлайн услуга и нейните цели. Важно е да знаете, че личните данни включват не само имена и адреси – това е цялата информация, която може да бъде свързана конкретно с Вашето дете, напр. ЕГН, електронен идентификатор, данни по личен документ, подпис, данни за местонахождение (геолокация) и др.
2. Вашето дете (субект на данни) има права в областта на защитата на личните данни, произтичащи от прякото приложение на Регламент (ЕС) 2016/679. В зависимост от своята възраст и степен на зрялост, то може да ги упражнява самостоятелно или чрез Вас.
3. Вслушайте се и вземете предвид изказаното от детето мнение (съобразно неговата възраст и зрялост) във връзка с обработването на личните му данни в онлайн среда! Правото на всяко дете да бъде чуто и да се изкаже свободно по всички въпроси, които го засягат, трябва да бъде гарантирано.
4. Доставчиците на онлайн услуги (администратори на лични данни) трябва да предоставят адаптирана информация за обработването на лични данни на децата и за техните права по начин, който отчита техните възрастовите различия и степен на зрялост. Помагайте на своите деца да осмислят и осъзнаят тази информация в пълнота, разяснявайте им по подходящ начин съответните законови ограничения (напр. филтриране на съдържание) и механизмите, които администраторите са предвидили за защита, включително как и до кого да подадат жалба, да докладват за злоупотреба или да поискат помощ и съвет!
5. Детето Ви може самò да дава съгласие за обработването на негови лични данни при пряко достъпване на услуги на информационното общество, ако е навършило 14 год. възраст. За деца под тази възраст, Вие сте тези, които трябва да изразите съгласие, ако съответната дигитална услуга се извършва въз основа на съгласие като правно основание по чл. 4, т. 11 от Регламент (ЕС) 2016/679. Дори в този случай Вашето дете има право да получи дължимата от администратора информация за обработването, независимо, че съгласието не се дава лично от него.
6. Доставчиците на онлайн услуги трябва да положат разумни усилия, като вземат предвид наличните технологии, за да проверят дали даденото съгласие от дете наистина е в съответствие със закона. Затова те могат да прилагат мерки за верификация на възрастта, които трябва да са ефективни, надеждни и пропорционални.
7. Вие не можете и не трябва да давате съгласие, ако обработването на данните на Вашето дете е за превантивни или консултантски услуги, предлагани директно на деца, вкл. онлайн. Целта на тези услуги е да защитят най-добрия интерес на детето – Вие не сте участник в този процес.
8. Повишавайте своята информираност относно дигиталните опасности и разяснявайте на децата си кои са рисковете в онлайн средата, особено в контекста на споделянето на лична информация и данни.
9. Ако купувате интернет свързани играчки, винаги се интересувайте по какъв начин те събират данни. Тези играчки се поддържат от функции, предоставени чрез цифрова връзка. Те могат да записват глас (напр. плюшено мече, с което детето говори и споделя информация), данни относно физическата активност (напр. лентите за активност, които регистрират информация относно тази активност и предават такива данни на сървъри, където се компилират, съхраняват и използват за показване като отчети за активността в приложение).
10. Насърчавайте детето си самò да упражнява правата си в областта на защитата на личните данни, ако възрастта и зрелостта му позволява това (напр. по отношение на социални мрежи, игри и платформи за споделяне на видео). Това не отменя Вашето право да упражнявате същите права от негово име и да му предоставяте подкрепа, когато то самò упражнява правата си.
11. При достъпа на Вашето дете до дигитални услуги, свързани с обработване на лични данни, упражнявайте родителски контрол по начин, който зачита неприкосновеността и най-добрите интереси на детето. Инструментите за родителски контрол могат да се използват, само ако детето е в състояние да разбере, че е наблюдавано, как и кога – зачитайте правото на личен живот на детето!
.png)
Личните данни и тяхната защита – всичко за тях и как да ги пазиш (текст на информационно-разяснителна брошура, предназначена за деца)
Първо, какво представляват личните данни?
Лични данни са всяка информация, която помага на някого да разбере кой си ти, като например – името ти, рожденият ти ден, имейл адресът ти, телефонният ти номер или домашният ти адрес. Тази информация не е само записана някъде в документи, а може и да бъде информация за това как изглеждаш или звучиш, например снимки или видеоклипове, които си публикувал онлайн, или гласовите ти записи. Може дори да е информация за твоите интереси, като например неща, които търсиш онлайн, или видовете публикации, върху които кликваш най-много в социалните мрежи.
Лични данни може също да бъде информация, която ти дори да не знаеш, че се събира за теб. Така например твоето лицево изображение може да бъде заснето от охранителна камера в търговски център или информация събрана от телефона ти, когато влезеш в публична Wi-Fi мрежа, като тези в магазини или кафенета.
И така, какво тогава е защита на данните?
Защитата на данните е свързана с правилата, които организациите трябва да спазват, и правата, които имаш, когато споделяш личните си данни. Има много правила, които организациите трябва да спазват, когато използват личните ти данни по някакъв начин – от събирането и съхранението им, до споделянето им с някой друг или тяхното изтриване.
Имаш права върху личните си данни, като например правото да поискаш от организацията, която ги съхранява, копие от тях, както и да поискаш те да бъдат изтрити. Тези правила и права се наричат защита на данните и се прилагат както в реалния свят, така и в онлайн пространството. Децата и младите хората имат абсолютно същите права като възрастните, когато става въпрос за техните лични данни.
Защо трябва да знаеш за личните данни и тяхната защита?
Общият регламент относно защитата на данните (накратко ОРЗД или GDPR) е европейски закон, който беше въведен на 25 май 2018 г. Той съдържа набор от правила и права за защита на данните, които дават на хората от всяка страна в Европейския съюз повече сигурност и информация за това какво се случва с личните им данни.
GDPR казва, че личните данни на децата се ползват с особена защита, тъй като децата може да не осъзнават, че понякога споделянето на лични данни може да бъде опасно. Децата също може да не знаят за своите права за защита на данните.
Кой събира лични данни за теб?
Много организации събират твоите лични данни в реалния живот, например училището ти, спортният ти клуб или школата, която посещаващ, както и личният ти лекар. Те събират различна информация за теб – като например как се справяш в училище и оценките ти, или информация за твоето здраве и всяко заболяване, които може да имаш.
Твоите лични данни се събират и от уебсайтове, социални мрежи и приложения които използваш. Всъщност много от личните данни, които се събират за теб, се случва именно онлайн. Когато използваш социални мрежи, ти споделяш информация за себе си, както и снимки и видеоклипове. Когато използваш приложение за планиране на маршрут на телефона си, ти споделяш информация за местоположението си, както и къде отиваш. Когато кликваш върху реклами, попълваш различни формуляри или играеш онлайн игри, всичко това включва споделяне на лични данни.
Всички споделяме безброй лични данни всеки ден, така че правилата за защита на личните данни са важни за всички нас. Те гарантират, че организациите, които събират лични данни, трябва да ги пазят и използват справедливо.
Как организациите използват личните ти данни?
Организациите използват твоите лични данни по много различни причини. Например, училището използва твоите данни, за да ти осигури образование и да следи оценките ти. Болницата събира личните ти данни, за да води запис за това кога си бил болен и какви лечения или лекарства са ти били дадени. Спортният ти клуб използва твоите данни за да те информира кога се провеждат тренировки и мачове или за да се свърже с твоите родители или настойници, ако си претърпял инцидент или нараняване по време на игра.
Онлайн компаниите също могат да използват личните ти данни, за да създадат свой уебсайт, приложение или платформа, които са насочени към интересите ти. Пример за това е, когато си гледал телевизионно предаване в услуга за стрийминг и тя запомня кой епизод гледаш или ти разказва за друго подобно предаване, което може да те заинтригува.
Какво прави Комисията за защита на личните данни (КЗЛД)?
Една от основните задачи на КЗЛД е да гарантира, че хората, включително децата:
• знаят и разбират своите права за защита на данните;
• разбират, че понякога споделянето на лични данни може да бъде рисковано;
• знаят как да защитят по-добре своите лични данни;
• знаят за стъпките, които организациите трябва да предприемат, за да запазят данните, които обработват безопасни и сигурни.
КЗЛД се грижи организациите да спазват правилата за защита на данните. Ако те не ги спазват, КЗЛД може да им нареди:
• да спрат да събират или използват лични данни;
• да дадат повече и по-ясна информация на хората за това какво правят с личните им данни;
• да изтрият личните данни; или
• да предоставят копие от личните данни на лицето, на което принадлежат.
КЗЛД може дори да глоби организации, които не спазват правилата.
КЗЛД има и други важни задачи като разглеждане на жалби на хора и разследване дали организациите спазват правилата за защита на данните.
.png)
Твоите права за защита на личните данни (текст на информационно-разяснителна брошура, предназначена за деца)
Защо правата за защита на данните са важни?
Когато става въпрос за личните ни данни, всички ние имаме редица права. Възрастните и децата имат абсолютно еднакви права и те се прилагат както в реалния свят, така и в онлайн пространството. Важно е да знаеш какви са твоите права за защита на данните, защото това ще ти помогне да имаш контрол върху личните си данни и също така ще ти помогне да проследиш дали организациите използват данните ти справедливо.
Кой отговаря за твоите права?
Можеш да „упражняваш” правата си или с други думи да ги „използваш”, без значение от възрастта ти, но само ако е ясно, че ги разбираш и използването им няма да ти причини никаква вреда.
Малките деца (ненавършили 14 години) се нуждаят от своите родители или настойници, които да се грижат за личните им данни вместо тях. Колкото повече растеш обаче, толкова по-вероятно е сам да упражняваш правата си. Само защото ти отговаряш за личните си данни, не означава, че не можеш да помолиш родителите си за помощ. Всъщност може да има определени ситуации, в които е най-добре да помолиш родителя или настойника ти да ти помогне да използваш правата си за защита на данните.
Например родителите ти може да са създали спестовна сметка на твое име, в която да заделят пари за теб, докато навършиш пълнолетие. Като притежател на сметката, можеш да поискаш от банката да ти предостави данните, които тя има за теб. Въпреки това, част от тази информация може да е много техническа и трудна за разбиране.
В този случай е по-добре да помолиш родителя или настойника си, или друг възрастен, на когото имаш доверие, да ти помогне да направиш това искане и да се убеди, че разбираш напълно всичко.
Знай какво се случва с данните ти
Имаш право да знаеш какво се случва с твоите данни и защо. Това означава, че имаш право да знаеш кога личните ти данни се събират от някой друг. Известно още като „правото да бъдеш информиран”. То е едно от най-важните права за защита на данните, защото не можеш да контролираш данните си, ако не знаеш кой ги притежава или какво прави с тях.
Има определени неща, които една организация трябва да ти каже, когато събира твоите данни. Например, тя трябва да ти каже коя е, какво точно прави с твоите лични данни и защо, колко дълго ще ги съхранява, а също така трябва да ти каже и какви са твоите права за тяхната защита и как можеш да ги упражниш пред нея.
Законът казва, че организациите трябва да гарантират, че тази информация е наистина ясна и лесна за разбиране от децата. Също така трябва да е лесно за децата да намират тази информация. В случай че имаш въпроси, е добра идея да накараш родителите си да ти помогнат да я прочетеш.
Къде можеш да намериш тази информация?
Обикновено организациите поставят цялата тази информация в документ, който се нарича „политика за поверителност”, която обичайно можеш да намериш на техния уебсайт. Социалните мрежи и приложенията например, използват неща като „изскачащите известия”, за да ти напомнят за тази информация по различно време, така че определена информация за това какво се случва с данните ти може да изскача на екрана ти, ако направиш промени в настройките на профила си или ако се каниш да публикуваш снимка или видеоклип.
Защо е важно да четеш тези неща?
Може да бъде много изкушаващо просто да прескочиш тези известия, защото искаш да продължиш със създаването на своя профил, да чатиш с приятелите си или да публикуваш свои снимки. Политиките за поверителност често са наистина дълги и не са толкова забавни за четене. Но е добре да си създадеш навика да ги разглеждаш, защото те съдържат много важна информация, която трябва да знаеш.
Получаване на копие от твоите данни
Имаш право да получиш копие от всяка информация, която дадена организация притежава за теб. Това е още известно като „правото на достъп”.
Какво да направиш, ако искаш копие от данните, които социалните мрежи имат за теб?
Социалните мрежи обикновено имат специален инструмент за „достъп до моите данни” или „изтегляне на моите данни” в страницата с настройки на профила, който ти позволява да направиш това бързо и лесно. Въпреки това имаш право да поискаш директно копие от твоите данни, като например изпратиш имейл до организацията или като се обадиш на тяхното бюро за помощ. Важното нещо тук е, че те трябва да направят лесен достъпа до личните ти данни.
Има ли ограничения за това, което можеш да получиш?
Понякога може да има определени правила, които да попречат на дадена организация да ти даде пълно копие на данните ти. Една от причините за това е, че данните често могат да включват повече от един човек. Такива са например груповите снимки или съобщенията между теб и твои приятели в социалните мрежи. Ако поискаш данни, включващи и други хора освен теб, организацията ще трябва да помисли внимателно какво е справедливо за всички и може да се наложи да предостави само част от данните. Но все пак трябва да ти отговорят и да ти дадат колкото могат повече данни.
Има ли някакви специални думи, които трябва да използваш, за да направиш искане за достъп до данните си?
Не е необходимо да споменаваш никакви закони или да използваш специални думи, когато питаш за своите данни. Всичко, което има значение, е да е ясно, че искаш копие от твоите данни.
След като отправиш искането си, организацията трябва да ти отговори в рамките на един месец. Ако не получиш отговор в рамките на този един месец, можеш да се оплачеш на Комисията за защита на личните данни (КЗЛД).
Също така имаш право да преместиш личните си данни от една организация в друга. Това е известно като „правото на преносимост” на данните. Може да използваш това право, ако сменяш доставчика си на имейл и искаш да копираш всичките си контакти. Важно е да знаеш, че има някои правила за това кога може да използваш това право и може да не е възможно винаги да го направиш, но винаги може да поискаш от организацията или КЗЛД съвет, ако не си сигурен.
Изтриване на твоите данни
Известно още като „правото на изтриване”. Това право може да бъде важно, когато си предоставил личните си данни на социална мрежа, но след това промениш решението си и поискаш от нея да изтрие профила ти. В този случай децата имат специална защита.
Важно е да запомниш, че само защото си поискал от социална мрежа да изтрие част от твоите данни, като например снимка, която си публикувал, това не означава, че същата снимка ще бъде изтрита от телефоните на всички, които може да са я запазили или да са направили екранна снимка (screenshot). Така че не забравяй да помислиш, преди да публикуваш.
Това означава ли, че можеш да накараш всеки да изтрие всичките ти данни, когато пожелаеш?
Не, защото ще има някои ситуации, в които не можеш да използваш правата си за защита на данните. Има много примери от ежедневието, когато една организация трябва да съхранява твоите лични данни, независимо дали си съгласен с това или не. Например, училището ти трябва да пази определена информация за теб, като твоето име, къде живееш и кои са родителите ти. Не можеш да накараш училището да изтрие тази информация, защото е необходимо да знае тези неща за теб.
Имаш право да поискаш изтриване на личните ти данни, само в определени случаи. Например, ако организацията използва личните ти данни въз основа на изразено от теб съгласие, но по-късно си променил решението си, или ако поначало организацията е събрала твоите лични данни без основателна причина. Обичайно в тези случаи имаш право да поискаш от организацията да изтрие личните ти данни.
Коригиране на грешки в данните ти
Освен изтриване на данните си, ти също имаш право да поискаш от организациите да ги коригират или да ги актуализират, ако смяташ, че има грешка в тях или нещо липсва или е остаряло. Това се нарича „право на коригиране”. Може да използваш това право, ако си променил телефонния си номер и искаш твоят спортен клуб да актуализира тази информация, така че да не пропускаш никакви важни съобщения за мачове или тренировки.
Кажи „не” на тези, които използват твоите данни
Това е известно още като „право на възражение”. Това означава, че имаш право да кажеш на организацията, че не си съгласен да използва твоите лични данни и да поискаш да спре да го прави. Има определени случаи, когато можеш да използваш това право, но има и такива при които не можеш. Например, ако организация използва твоите лични данни, за да ти изпраща по имейл или поща информация за продукти, които се опитва да ти рекламира и продаде. В този случай, по всяко време, можеш да поискаш тя да спре да ти праща такива съобщения.
Обърка ли се вече? Ако не искаш организация да използва твоите данни, тогава със сигурност ли тя трябва да спре?
Важно е да разбереш, че не всички организации се нуждаят от твоето разрешение, за да използват данните ти. Някои имат задължението да съхраняват твоите данни, като например различните държавни органи. Други организации може да имат наистина основателна причина да използват твоите данни, без да искат твоето разрешение при определени обстоятелства. Пример може да са камерите за видеонаблюдение в местния търговски център. Търговският център не трябва да иска разрешение от посетителите, за да ги записва чрез системата си за видеонаблюдение, тъй като камерите са необходими за предотвратяване на престъпления и опазване на сигурността на клиентите и персонала. Когато обаче става дума за деца, организациите трябва да полагат допълнителни грижи и да се уверят, че причината за използването на лични данни не причинява каквато и да е вреда на децата.
Кажи „не”, когато важни за теб решения се вземат само от компютри
Решенията, взети изцяло от компютри, се случват толкова често, когато сме онлайн, че ние едва ги забелязваме. Така например съдържанието, което виждаме, когато превъртаме екрана на телефона в социалните мрежи или рекламите, които получаваме, когато отворим нова уеб страница, са резултат от решения на компютри, които се вземат въз основа на нашите лични данни.
Защо това е важно?
Защото законът казва, че във всички важни решения, които се вземат въз основа на твоите лични данни, трябва да участват реални хора. Примери за важни решения могат да бъдат разглеждането от банка на искане за кредит, разглеждането на заявление при кандидатстване за работа или кандидатстване в университет. Ако се притесняваш, че дадена организация е взела важно решение за теб, като е използвала само компютри, без участието на хора, имаш право да поискаш това решение да ти бъде обяснено, да задаваш въпроси относно решението, както и да изискваш участието на истински жив човек при неговото вземане. Ако все още не си доволен, можеш да се оплачеш на КЗЛД.
Как да се оплачеш? Като подадеш жалба до КЗЛД.
Това можеш да разбереш от секция „
Подаване на жалби и сигнали” в нашия уебсайт:
https://www.cpdp.bg. В случай че имаш въпроси за това, можеш да ни се обадиш и на телефоните, публикувани в секция „
Контакти”. При всички случаи сподели със своя родител или настойник, защото той ще ти е необходим, за да подадеш жалба
за онлайн безопасност за деца
