Обработка персональных данных детей в юрисдикциях РФ, ЕС, США. В чем загвоздки?

Консультант по защите персональных данных компании «Б-152» Екатерина Чумаченко

— Множество интернет-сервисов направлено на предоставление услуг\информации детям, при этом отсутствует условное разделение сервисов на «взрослые» и «детские». Любой ребенок, имеющий доступ в интернет, может совершить покупку, зарегистрироваться на сайте или завести аккаунт в любом сервисе, будь то магазин, социальная сеть или информационный сайт.

Чаще всего при обработке персональных данных детей на сайтах не предусмотрено механизма, который мог бы проверить настоящий возраст пользователей. Для регистрации достаточно просто указать любую дату рождения — с этим справится даже ребенок. В этой связи любые меры, ограничивающие возраст пользователя, носят скорее формальный характер.

При этом сайты или социальные сети, которые просят согласие на обработку персональных данных или описывают условия обработки персональных данных в политике конфиденциальности, почти не встречаются в интернете. Предлагаем разобраться, как по закону можно обрабатывать данные детей в разных юрисдикциях.

Российская Федерация, 152-ФЗ

Законодательство РФ не содержит положений о возрасте, с которого несовершеннолетние вправе самостоятельно давать согласие на обработку персональных данных. Кроме того, отсутствует требование, чтобы такое согласие было дано обязательно в письменной форме. Таким образом, операторы самостоятельно определяют порядок получения согласия на обработку персональных данных несовершеннолетних детей.

Проведя анализ российского законодательства на предмет возраста самостоятельного согласия детей, можно прийти к выводу, что такое согласие почти всегда дается от лица родителя ребенка вплоть до 18 лет. Исключение составляют:

— обработка персональных данных в образовательных целях или обработка подпадает под действие государственных\муниципальных услуг (с 16 лет).

— несовершеннолетний в возрасте старше 15 лет, больной наркоманией несовершеннолетний в возрасте старше 16 лет нуждается в добровольном согласии на медицинское вмешательство или на отказ от него.

— другие случаи, описанные в законах РФ. 

Многие сайты в РФ, которыми явно могут пользоваться дети, избегают подтверждения возраста или сбора персональных данных детей, однако встречаются и иные случаи, где операторы устанавливают свои требования (например, сайт Юнармии, компании Nintendo или Lego).

На этих сайтах ребенок до определенного возраста может пользоваться тем функционалом, который предусмотрен возрастным цензом. Иногда на сайтах присутствуют некоторые формы родительского контроля: например, родитель регистрируется на сервисе с помощью уже подтвержденного Google\Facebook\Apple\twitter аккаунта. После создания аккаунта на сервисе родитель самостоятельно ограничивает и создает доступ для ребенка, тем самым соглашаясь на обработку его персональных данных. 

Согласие законных представителей должно отвечать требованиям ст. 9 152-ФЗ, не обладает какой-либо спецификой и должно содержать все необходимые элементы, перечисленные в 152-ФЗ (сведения об операторе персональных данных, цели обработки персональных данных, категории обрабатываемых персональных данных и так далее). 

При необходимости письменное согласие должно также содержать ФИО несовершеннолетнего; реквизиты документа, удостоверяющего его личность; ФИО законного представителя и несовершеннолетнего; реквизиты документа, удостоверяющего его личность.

Европейский союз, GDPR (Общий регламент защиты персональных данных)

Нормы GDPR устанавливают, что несовершеннолетний в возрасте 16 лет имеет право самостоятельно давать согласие на обработку персональных данных. Согласно ст. 8 GDPR, если ребенку не исполнилось 16 лет, обработка персональных данных законна только в случае, если есть согласие законных представителей несовершеннолетнего. 

Пример реализации получения согласий можно найти на сайте Кембриджского университета. На сайте представлена форма сбора персональных данных несовершеннолетних от имени их родителей.

Анализ

1. П.1 ст. 8 GDPR отмечает, что если ребенку исполнилось 16 лет, то предложение услуг информационного общества законно; если же ребенку менее 16 лет, то обработка персональных данных в таком случае законна при согласии родителя или ответственного лица. 
2. Возраст может быть снижен на национальном уровне, но он в любом случае не может быть ниже 13 лет. Если ваша деятельность направлена на обработку персональных данных на весь ЕС, то следует указать наивысший возрастной ценз для самостоятельной дачи согласия несовершеннолетним — 16 лет. 
3. В GDPR не уточняется то, каким образом необходимо получить такое согласие, и то, как проверить достоверность такого согласия. GDPR только говорит о том, что контроллер должен прилагать разумные усилия для его проверки с учетом имеющихся технологий.  

Соединенные Штаты Америки, CCPA (Калифорнийский закон о защите прав потребителей)

CCPA обязывает получать согласие родителей или законных представителей в случае продажи данных несовершеннолетних. В соответствии с Section 1798.120 (a) (c) CCPA, несовершеннолетние в возрасте от 13 до 16 лет могут самостоятельно предоставить такое согласие. Для продажи персональных данных лиц младше 13 лет оператор обязан запрашивать согласие у родителей или законных представителей несовершеннолетнего.

Пример реализации получения согласий на сайте Университета Джона Хопкинса, форма согласия родителей COPPA

Анализ

1. CCPA устанавливает обязанность оператора получать согласие родителей или законных представителей только в случае продажи данных несовершеннолетних младше 13 лет.  

2. CCPA, как и GDPR, не дает каких-либо рекомендаций о том, как реализовывать получение согласия родителя или законного представителя несовершеннолетнего. Точные требования и примеры получения согласия представлены в ином акте — COPPA (Закон о защите конфиденциальности детей в интернете). 

3. В соответствии с COPPA согласие родителей необходимо в следующих случаях: 

— когда онлайн-сервис направлен на несовершеннолетних;

— когда оператор явно знает о том, что собирает персональные данные несовершеннолетних.

Получать согласие не нужно: 

— для однократного ответа несовершеннолетнему; 

— для обеспечения безопасности данных несовершеннолетнего; 

— для целей судебного разбирательства.

4. Главное условие получения родительского согласия — его верифицируемость, т. е. возможность удостовериться, что такое согласие дает родитель или иной законный представитель ребенка. 

5. COPPA перечисляет несколько возможных способов получать согласие представителей: 

— предоставление формы согласия, которая должна быть подписана родителем и возвращена оператору по почте, факсу или скан-копией;

— использование кредитной или дебетовой карты родителя или другой системы онлайн-платежей, которая предоставляет уведомление о каждой отдельной транзакции держателю счета (родителя или законного представителя);

— осуществление обратного звонка родителю или иному законному представителю;

— проведение видеозвонка с родителем или иным законным представителем; 

— проведение проверки личности родителя или законного представителя путем проверки документа, удостоверяющего личность, по базам данных такой информации, при этом данные родителя должны быть удалены сразу после завершения проверки. 

Эти варианты получения подтверждения согласия могут использоваться и для выполнения требований GDPR и CCPA, ФЗ-152.

Общий вывод

В интернете можно найти множество сайтов, которые помогают сгенерировать согласия несовершеннолетних лиц для различных целей.

Можно сделать вывод, что если ваш бизнес направлен на несовершеннолетних лиц или дети могут каким-либо образом получить от вас услуги\информационную поддержку, то лучше размещать согласия на обработку лиц, не достигших 18 лет, включая данные их родителей или законных представителей, а также делать отдельный раздел в политике обработки персональных данных о том, как вы обрабатываете или предоставляете услуги лицам, не достигшим 18 лет.

Особенно эти требования актуальны для ЕС и США, так как суммы штрафов достигают больших размеров (например, в США — до $43,000 за правонарушение в отношении каждого ребенка), что может сильно сказаться на деятельности компании.