Dzieci i nastolatkowie stanowią wyjątkowo atrakcyjną kategorię klientów.
Nie tylko w sensie procentowego udziału w zbiorze wszystkich klientów, użytkowników, ale także jako grupa szczególnie podatna i narażona na działania wątpliwe pod względem etycznym.
Internet stał się dla dzieci w równym stopniu piaskownicą, szkołą oraz ciemnym zaułkiem, w którym oferuje im się nie tylko niedozwolone treści, ale także korzysta z ich danych osobowych.
Temat bezpieczeństwa dzieci i młodzieży w sieci przez lata był bagatelizowany. Całe szczęście pojawiła się inicjatywna, która zaowocowała najpierw szerokimi konsultacjami społecznymi, pracami legislacyjnymi, wreszcie konkretnym dokumentem - kodeksem AADC - Age Appropriate Design Code.
Jakie znaczenie ma nowe prawo obowiązujące w Wielkiej Brytanii, które już stało się ważnym punktem odniesienia dla instytucji, parlamentów, inicjatyw społecznych w wielu krajach (m.in. w USA)? Jakie standardy przyjęto w ramach Age Appropriate Design Code (kodeks AADC)?
Dziś przyjrzymy się dokumentowi, który ma szansę zapoczątkować ważną, potrzebną i długo zaniedbywaną zmianę w zakresie praw dzieci i młodzieży.
Zapraszamy do lektury!
Dzieci jako najsłabsi, najgorzej chronieni użytkownicy Internetu
Wczytywanie się w cykliczne raporty, badania i artykuły, przygotowywane przez UNICEF, jak choćby „Investigating Risks and Opportunities for Children in a Digital World”, czy „Contextualising the link between adolescents’ use of digital technology and their mental health: a multi‐country study of time spent online and life satisfaction” uświadamia, że dzieci i nastolatkowie są ważną częścią odbiorców treści internetowych.
Niestety, ich znaczenie biznesowe dotychczas nie szło w parze z wagą ich praw i interesów.
Mówiąc wprost - dzieci i młodzież - nie doczekali się adekwatnej, realnej, skutecznej ochrony. W szczególności jako użytkownicy sieci - klienci, gracze, subskrybenci, odbiorcy treści.
Dzieci w sieci - był to temat dotychczas zaniedbywany. Najmłodsi stali się przedmiotem poważnej debaty publicznej stosunkowo późno. Ale koniec końców także ta grupa przyciągnęła uwagę aktywistów, mediów i polityków.
Sednem podjętych prac, analiz, diagnoz było stworzenie rozwiązań mających chronić ich interesy oraz dobrostan. Choć w skali Europy inicjatyw było wiele, znaczącym przełomem okazała się - i zapewne okaże się niebawem jeszcze większym - inicjatywa brytyjskiego The Information Commissioner’s Office.
ICO - brytyjski odpowiednik polskiego Urzędu Ochrony Danych Osobowych (UODO) - stworzył bardzo istotny z punktu widzenia bezpieczeństwa i interesów dzieci i nastolatków kodeks, który wyznacza ramy, standardy oraz kierunki ochrony dzieci w przestrzeni internetowej.
Przyjęty 02.09.2020 roku przez Parlament Brytyjski dokument w pierwszej kolejności ma służyć załataniu luki prawnej oraz lepszej ochronie danych osobowych osób niepełnoletnich.
Z punktu widzenia User Experience, standardów projektowania aplikacji webowych, aplikacji mobilnych, produktów i usług cyfrowych wejście w życie nowego prawa i normy ma ogromne znaczenie.
Wyznacza bowiem standardy projektowe, w ramach których interesy dzieci i młodzieży będą musiały być respektowane oraz uwzględniane jako istotna zmienna. Wpływająca nie tylko na ostateczny projekt produktu cyfrowego, ale także rzutująca na proces projektowy.
Zapoznanie się - choćby ogólne - z przyjętymi rozwiązaniami jest koniecznością dla agencji UX, software house`ów, agencji interaktywnych, czy firm produkujących gry, a nawet zabawki.
O co zatem chodzi w AADC i w jakim sensie jest ono uzupełnieniem prawa, które przyjęte zostało wraz z RODO (General Data Protection Regulation - GDPR)?
RODO i AADC - porównanie
Choć problematyka ochrony praw dzieci jest obecna w przyjętym w 2016 roku Rozporządzenie o Ochronie Danych Osobowych (RODO), to jednak zdaniem wielu komentatorów jest ona niedostateczna.
Ogólne zapisy nie są w stanie bowiem skutecznie przeciwdziałać nadużyciom oraz w sposób wymierny chronić dzieci przed nimi.
Szczytna idea szczególnej ochrony danych osobowych najmłodszych użytkowników internetu nie została wyrażona w sposób szczegółowy, konkretny i tym samym pozwalający na skuteczną egzekucję prawa i prewencję.
Co więcej, zapisy w RODO były zbyt ogólnikowe i stanowiły duże wyzwanie dla instytucji, które nie do końca wiedziały jak interpretować niekonkretne zapisy w bardzo konkretnych sytuacjach.
Z martwego prawa niewiele wynikało w kwestii ochrony prywatności dzieci i młodzieży. Lukę tę wypełnia brytyjskie ICO, które przekłada ogólniki RODO (ale także Konwencji ONZ o Prawach Dziecka) na język konkretów.
Wprawdzie, przyjęty i funkcjonujący już w pełni kodeks jest tylko zbiorem rekomendacji oraz dobrych praktyk, ale stanowi narzędzie przełomowe.
Po pierwsze, każdy z 15 opisanych standardów ICO ma swoje umocowanie prawne w RODO. Dzięki tak ścisłemu powiązaniu obu dokumentów będzie możliwe w praktyce to, co dotychczas było tylko dopuszczalne w teorii.
Mianowicie możliwość egzekwowania przestrzegania prawa w konkretnym zakresie. Póki co, nowe prawo dotyczy podmiotów działających na rynku brytyjskim.
Zarówno firmy macierzyste, jak i zagraniczne mające swoje przedstawicielstwa, oddziały, świadczące usługi, oferujące produkty cyfrowe na rynku brytyjskim musiały do września 2021 dostosować swoje usługi oraz produkty do nowego prawa.
Wszystko jednak wskazuje na to, że standardy wyrażone w kodeksie ICO staną się punktem odniesienia dla legislacji przyjmowanych na gruncie Unii Europejskiej oraz poszczególnych państw członkowskich.
Jaki zakres obejmuje kodeks Age Appropriate Design Code?
W naturalny sposób pojawia się pytanie, jakie branże muszą w szczególności respektować 15 standardów kodeksu ICO?
Kodeks AADC w szczególności obejmuje i dotyczy:
- firm projektujących, udostępniających aplikacje webowe oraz mobilne
- platform społecznościowych
- dystrybutorów gier dostępnych online
- platform VOD oraz platform streamingowych
- platform e-learningowych
- producentów interaktywnych zabawek
- producentów oprogramowania
- E-Commerce / M-Commerce
- wyszukiwarek internetowych
- operatorów płatności online (w szczególności tzw. mikropłatności)
- mediów online
- wszelkich stron internetowych oferujących użytkownikom inne towary lub usługi za pośrednictwem Internetu.
Generalnie rzecz ujmując, zastosować się do nowych standardów powinni wszyscy producenci i usługodawcy, których bezpośrednimi lub pośrednimi odbiorcami i klientami są dzieci. A mówiąc ściśle osoby niepełnoletnie.
Age Appropriate Design Code ma na celu także promowanie wzorca rozwiązań przyjaznych dzieciom (Child Friendly) nawet, jeśli dzieci nie są bezpośrednimi odbiorcami treści, usług, czy produktów.
Wszystko jednak wskazuje na to, że kodeks AADC nie będzie kolejnym martwym prawem. Jak czytamy w artykule pt. „ICO Age Appropriate Design Code Enters Into Force” organizacje, które nie będą przestrzegać kodeksu będą pociągane do odpowiedzialności przez ICO.
Przewidziane kary obejmują między innymi konieczność zaprzestania przetwarzania danych osobowych oraz grzywnę do 4% ogólnych obrotów organizacji.
Elastyczna i zróżnicowana ochrona dzieci w kodeksie AADC
Kategoria osób niepełnoletnich obejmuje bardzo zróżnicowane osoby. Sześciolatka i piętnastolatka, pod kątem na przykład różnic intelektualnych, dzieli ogromna przepaść.
Nic więc dziwnego, że brytyjskie rozwiązania biorą pod uwagę wiek, jako ważną zmienną, z której powinny wynikać konkretne rozwiązania.
Kodeks AADC wyróżnia 5 grup wiekowych, które zostały wyłonione zgodnie z typowym przebiegiem rozwoju intelektualnego, motorycznego, emocjonalnego i społecznego młodego człowieka.
Rozwiązania powinny być dostosowane do następujących przedziałów wiekowych:
- 0 do 5 lat
- 6 do 9 lat
- 10 do 12 lat
- 13 do 15 lat
- 16 do 17 lat.
Przy czym, ogólnie rozumiane bezpieczeństwo dziecka powinno być podstawową przesłanką projektową oraz biznesową. Zachowanie wysokiego poziomu prywatności powinno być każdorazowo wartością domyślną.
W praktyce oznacza to, że dane dzieci powinny być zbierane, przechowywane oraz udostępniane w maksymalnie ograniczonym zakresie.
Powyższe zdania mogą sugerować pewną gołosłowność i ogólnikowość, jednak w kodeksie przygotowanym przez ICO wskazano różnorodne metody weryfikacji wieku użytkownika, na przykład poprzez, za pomocą:
- deklaracji użytkownika
- wykorzystania technologii AI - sztucznej inteligencji (Artificial Intelligence)
- potwierdzenia wieku przez podmioty trzecie (instytucje, innych użytkowników)
- funkcjonalności uniemożliwiających oszukiwanie mechanizmów weryfikacji wieku.
Właściwie najbardziej jaskrawym celem ICO jest stworzenie standardów, które spowodują, że domyślne ustawienia będą zapewniać dzieciom dostęp do produktów cyfrowych, nienaruszających ich praw.
Przede wszystkim nie pozwalających na nadmiernie gromadzenie i wykorzystywanie danych osobowych.
Minimalizacja zakresu oraz głębokości takich praktyk przenika każdą z 15 norm.
Co jeszcze ważniejsze, ochrona będzie się manifestować już na poziomie projektowym, a jednymi z głównych adresatów kodeksu ICO są między innymi Projektanci UX / Projektanci UI.
15 standardów ochrony danych osobowych dzieci według ICO
Kodeks AADC to zbiór 15 standardów, norm, rekomendacji, których celem jest uregulowanie problemu nieadekwatności treści, usług, produktów oferowanych dzieciom.
W dokumencie omawiającym poszczególne standardy pt. „Age appropriate design: a code of practice for online services” czytamy między innymi, że aktualnie dzieci mają zbyt łatwy i niczym nieograniczony dostęp do treści, usług, produktów, które nie uwzględniają ich wieku oraz wynikającej z tego ograniczonej zdolności do rozumienia i kontrolowania konsekwencji wykorzystania ich danych osobowych.
Przed wprowadzeniem kodeksu AADC na terenie Wielkiej Brytanii możliwe było projektowanie usług w sposób, który potencjalnie przedkładał interesy handlowe ponad interes dzieci.
Wraz z wejściem w życie nowego standardu ta sytuacja ma ulec diametralnej zmianie.
Przyjrzyjmy się zatem z bliska poszczególnym standardom.
1 Standard AADC - Najlepszy interes dziecka (Best interests of the child)
Dokument przygotowany przez ICO pt. „Age appropriate design: a code of practice for online services”, w skrótowy sposób opisuje pierwszy standard, zgodnie z którym podczas projektowania i opracowywania usług online, do których dziecko może mieć dostęp, należy przede wszystkim wziąć pod uwagę jego dobro.
Podstawę, umocowanie prawne dla pierwszego standardu AADC stanowi artykuł 3 Konwencji Narodów Zjednoczonych o prawach dziecka (UNCRC), zgodnie z którym najlepszym interesem dziecka jest to, co jest dla niego najlepsze.
A więc sprzyjające jego rozwojowi fizycznemu, emocjonalnemu, intelektualnemu, społecznemu. Zgodnie z Konwencją, dziecko posiada także prawo do prywatności oraz prawo wolności od wyzysku ekonomicznego.
Dlatego też dzieci powinny być:
- chronione przed możliwością wyzysku handlowego
- wspierane w rozwoju poglądów oraz tożsamości
- wspierane w utrzymywaniu dobrego samopoczucia, zdrowia
- chronione przed ograniczeniami wolności.
Ramę najlepiej pojętego interesu dziecka powinno stanowić jego:
- bezpieczeństwo i zdrowie
- dobre samopoczucie
- dobre relacje rodzinne
- prawidłowy rozwój fizyczny, psychiczny i emocjonalny.
Szczegóły, dotyczące tych problemów, znaleźć można w osobnym dokumencie pt. „Children’s code: best interests framework”.
2 Standard AADC - Ocena skutków ochrony danych (Data protection impact assessments)
Założenie przyświecające drugiej z kolei normie brzmi następująco: brak zastosowania ram w celu rozważenia ryzyka wynikającego z przetwarzania danych oraz szerszych konsekwencji ich wykorzystania, zwiększa prawdopodobieństwo wystąpienia szkód.
Ponadto, w dokumencie pt. „Age appropriate design: a code of practice for online services Impact assessment”, czytamy, że wdrożenie tego standardu pozwala:
- minimalizować ryzyka już na wczesnym etapie
- zmniejszyć koszty, wynikające z konieczności dostosowania projektu do normy
- uczynić normę rutyną projektową, co chroni nie tylko dzieci, ale także właścicieli biznesu przed stratami (np. finansowymi, wizerunkowymi - związanymi z reputacją)
- zamanifestować wartości, odpowiedzialność
- skuteczniej dowodzić swoich racji w sądach.
Ocenę, walidację w tym zakresie najlepiej przeprowadzić poprzez skonfrontowanie projektu z wytycznymi zawartymi w dokumencie pt. „How do we do a DPIA?”
3 Standard AADC - Aplikacja adekwatna do wieku (Age Appropriate Application)
Obowiązkiem twórców, właścicieli biznesów jest dostosowanie aplikacji do wieku i tym samym możliwości, potrzeb, ograniczeń użytkowników. Dzieci w różnych etapach rozwoju cechują się różnymi potrzebami. Wymagają także różnego zakresu, charakteru, sposobu ochrony ich praw i wolności.
Klarowne, precyzyjne określenie wieku przyszłych odbiorców pozwala dostosować, adekwatne do stadium rozwojowego, zabezpieczenia.
Szczegółowo - możliwości, potrzeby, ograniczenia (także prawne) - autorzy AADC opisują w osobnym aneksie („Annex B: Age and developmental stages").
4 Standard AADC - Przejrzystość (Transparency)
Przejrzystość w kodeksie AADC odnosi się do kilku kwestii. Między innymi do prostego, zrozumiałego, uczciwego:
- informowania użytkowników o zawartości, przy czym komunikat powinien być w sensie językowym dostosowany do wieku dziecka
- formułowania regulaminów, wyjaśnień.
Ponadto decyzje w kwestii akceptowania regulaminów, wyrażania zgód powinny być uzależnione od możliwości prawidłowego zrozumienia ich treści, zrozumienia ich konsekwencji.
Ponadto wraz z obniżaniem się wieku użytkowników powinny być wyrażane z pomocą rodziców lub dorosłych opiekunów.
Więcej o problemie Przejrzystości można przeczytać w artykule pt. „Principle (a): Lawfulness, fairness and transparency”.
5 Standard AADC - Szkodliwe wykorzystanie danych (Detrimental use of data)
Przez szkodliwe wykorzystanie danych autorzy kodeksu AADC rozumieją takie wykorzystanie, które negatywnie wpływa na zdrowie fizyczne, psychiczne, samopoczucie. Które jest niezgodne z branżowymi kodeksami postępowania lub innymi rekomendacjami środowiskowymi, regulacjami prawnymi.
Dobrą praktyką w tym zakresie jest m.in.:
- unikanie wzmacniania zaangażowania, zależności dzieci poprzez oferowanie korzyści, które są możliwe do uzyskania z pomocą danych osobowych
- unikanie sugerowania straty w wyniku zaprzestania korzystania z usługi lub aplikacji
- unikanie wykorzystywania funkcji automatyzujących korzystanie, kosztem wolnego wyboru
- oferowanie możliwości dokonania przerwy bez poczucia straty.
6 Standard AADC - Polityki i standardy społeczności (Policies and community standards)
Kolejny standard pełni rolę swoistego memento, bowiem apeluje do twórców, sprzedawców, usługodawców o przestrzeganie własnych warunków, zasad, standardów dotyczących prywatności, ograniczeń wiekowych, ograniczeń dopuszczalnych treści i akceptowalnych sposobów zachowania.
Przypomnienie tego rodzaju wydaje się zasadne, bowiem martwe, nie egzekwowane prawo, normy są równie szkodliwe jak ich brak.
Deklaratywne obostrzenia dotyczące wieku oraz wykorzystywania danych są nic nie warte, jeśli nie stoją za nimi konkretne działania - np. dotyczące kontroli wieku użytkowników.
7 Standard AADC - Domyślne ustawienia prywatności (Default settings)
Domyślne ustawienia prywatności, zgodnie z wytycznymi ICO, powinny cechować się „wysoką prywatnością”.
Oznacza to, że domyślnie nie należy:
- zbierać danych osobowych, jeśli nie jest to koniecznie
- udostępniać danych osobowych nieograniczonej liczbie innych użytkowników.
Ustawienia domyślne powinny:
- nie dopuszczać możliwości gromadzenia danych, które nie są niezbędne do świadczenia usługi online
- nie pozwalać udostępniać danych osobom, instytucjom trzecim
- dostarczać niezbędnych wyjaśnień, gdy użytkownik będzie je chciał zmienić
- oferować możliwość przywrócenia wartości domyślnej.
8 Standard AADC - Minimalizacja danych (Data minimisation)
Zgodnie z ósmym standardem dane osobowe powinny być zbierane i przechowywane w ilościach minimalnych, tylko w zakresie koniecznym do poprawnego świadczenia usług.
Oznacza to, że nie jest wskazane zbieranie danych, które nie służą realizacji celu podstawowego.
Dodajmy, że jak w poprzednich odsłonach kodeksu, także w tym punkcie podstawę prawną stanowią konkretne zapisy RODO.
W ramach ósmego standardu bardzo mocno także podkreśla się decyzyjność dzieci, którym powinno się oferować szeroki wybór. Co jeszcze ważniejsze, zbieranie danych motywowane chęcią polepszenia świadczonych usług online, także nie powinno być dokonywane.
9 Standard AADC - Udostępnianie danych (Data sharing)
Udostępnianie danych dzieci (stronom trzecim, spoza organizacji) musi być umotywowane gruntownie i przekonująco. Powinno wynikać z najlepiej rozumianego interesu dziecka. Interesem, uzasadniającym przekazywanie danych osobowych, może być na przykład chęć przeciwdziałania oszustwom, przestępstwom (np. seksualnym).
Oznacza to, że dane osobowe powinny być udostępniane rzadko, w ograniczonym zakresie i tylko w sytuacjach, w których służyć mają one interesom dzieci, nie osobom, instytucjom, organizacjom.
ICO rekomenduje także obligatoryjne uzyskiwanie od odbiorców danych deklaracji, zobowiązania, że dane osobowe dzieci będą traktowane jako poufne.
Zgodnie ze standardem 9 należy także sprawdzać, na ile złożone gwarancje są realnie spełniane.
10 Standard AADC - Geolokalizacja (Geolocation)
Opcja śledzenia położenia użytkownika powinna być domyślnie wyłączona. Wartość przeciwna jest dopuszczalna tylko w sytuacjach wyjątkowych, motywowanych najlepszym interesem dzieci. Jeśli śledzenie jest włączone użytkownicy powinni być o tym w sposób czytelny i jednoznaczny poinformowani.
W przypadku możliwości ustalenia fizycznego położenia dziecka sprawa jest o tyle poważna, że istnieje znaczne ryzyko narażenia go na fizyczne niebezpieczeństwo.
Dostępność danych odnośnie geolokalizacji godzić może także w dobrostan psychiczny, emocjonalny dziecka.
Dlatego możliwość zmiany tych ustawień (włączanie / wyłączanie) powinno być oferowane jako funkcja podstawowa.
AADC jasno określa, że informacje o zbieraniu, przechowywaniu, udostępnianiu danych o lokalizacji powinny być przekazywane zarówno w trakcie rejestracji, zakładania konta, jak również w trakcie korzystania z produktu, usługi cyfrowej.
11 Standard AADC - Kontrola rodzicielska (Parental controls)
Rozwiązania projektowe, wykorzystywanie nowoczesnych funkcjonalności oraz technologii (np. AI) nie zawsze jest w stanie zastąpić roli, funkcji oraz wagi działań podejmowanych przez samych rodziców.
Mogą oni korzystać z narzędzi kontroli rodzicielskiej, przy czym kodeks ICO - kierując się szlachetnymi i jednocześnie bardzo trzeźwymi przesłankami - omawia ten problem w całej jego złożoności.
O ile, kontrola rodzicielska - z definicji - ma służyć dzieciom oraz zabezpieczać ich najlepszy interes, o tyle sama może być źródłem nadużyć. Stąd też w AADC jasno rekomenduje się oferowanie dzieciom wyjaśnień, czym jest kontrola rodzicielska, jakie ma funkcje oraz jakie może mieć dla nich konsekwencje.
Wskazane jest poinformowanie dzieci o możliwości monitorowania ich działań przez rodziców. Warto przy tym pamiętać, że im dziecko jest starsze tym ważniejsze jest fortunne poinformowanie go o prawie do poszanowania jego prywatności.
12 Standard AADC - Profilowanie (Profiling)
W RODO profilowanie zostało zdefiniowane jako każda forma zautomatyzowanego przetwarzania danych osobowych. W szczególności chodzi o wykorzystanie danych osobowych do oceny, analizy, przewidywania zachowań, sytuacji (np. ekonomicznej, zdrowotnej), preferencji, planów użytkowników.
Zgodnie z AADC profilowanie powinno być domyślnie funkcją nieaktywną. Może być włączona domyślnie, o ile jej używanie jest niezbędne do świadczenia podstawowych funkcji lub wynika, z nałożonych przez prawo na podmiot, obowiązków.
Usługodawca, chcąc wykorzystywać funkcje profilowania, zobowiązany jest do poinformowania użytkowników w sposób wyczerpujący o tym fakcie i jego konsekwencjach. W sposób, spełniający wymagania standardu przejrzystości.
Celem ograniczenia (nie zakazania) profilowania jest minimalizowanie ryzyka ekspozycji dzieci na kontakt z treściami dla nich potencjalnie szkodliwymi i tym samym redukowanie ewentualnych szkód.
13 Standard AADC - Nudge techniques
Nudge techniques, w najogólniejszym sensie, polegają na nakłanianiu, zachęcaniu dzieci do wykonywania działań, które są pożądane z punktu widzenia usługodawcy, właściciela biznesu cyfrowego i wątpliwe z punktu widzenia użytkownika.
Sugerowanie „właściwych”, „pożądanych”, „oczekiwanych”, czy „opłacalnych” zachowań i działań jest równie popularne w ramach projektowania, wykorzystującego nudge techniques, jak utrudnianie, ukrywanie dokonywania wyborów nie preferowanych przez organizację.
Zgodnie z wykładnią i normą ICO, techniki tego rodzaju są sprzeczne z zasadą przejrzystości, która w szczególności jest ważna w przypadku dzieci. Osoby niepełnoletnie, mające ograniczone możliwości rozpoznania takich manipulacji powinny być w szczególności chronione.
Aprobowanym wykorzystaniem nudge techniques są wszelkie sytuacje, w których zachęca się dziecko do wyboru bardziej restrykcyjnej ochrony prywatności. Odnosi się to także do funkcjonalności, które mają na celu nakłanianie dzieci do zrobienia sobie przerwy, gdy czas korzystania z usługi jest zbyt długi i godzący w ich dobrostan.
Design dostosowany do wieku jest więc także narzędziem dość racjonalnie pomyślanym. Narzędziem czyniącym projektowanie dla dzieci procesem, w którym tworzenie (np. strony), wykorzystywane narzędzia i techniki mają służyć lepszej komunikacji, zwiększaniu wiedzy jej użytkowników.
Jednym słowem projektowanie dostosowane do wieku ma być adekwatne do umiejętności oraz różnych potrzeb młodych ludzi.
Przy czym nie chodzi o restrykcje, ale o poszukiwanie rozwiązań w równym stopniu gwarantujących bezpieczeństwo, co czyniące z procesu tworzenia sposób na uzyskanie produktów wygodnych.
Dostępne rozwiązania, jak widać na przykładzie nudge techniques, można użyć na różne sposoby, także pozytywne.
14 Standard AADC - Podłączone do internetu zabawki i urządzenia (Connected toys and devices)
Przedostatni standard zwraca uwagę na coraz częstszy problem ochrony danych osobowych, które są zbierane za pomocą zabawek i urządzeń fizycznych, które są podłączone do internetu.
Urządzeniami, które mogą naruszać prawa dzieci są na przykład aparaty fotograficzne, mikrofony, opaski fitness, interaktywne głośniki. Producenci zabawek i urządzeń zobowiązani są we własnym zakresie do ochrony dzieci w sieci. Deponowanie odpowiedzialności na podmioty zewnętrzne jest uznawane na gruncie AACD za istotne naruszenie ich praw.
Użytkownicy zabawek i urządzeń muszą w punktach sprzedaży, w procesie konfiguracji, na opakowaniach przekazywać pełne informacje o sposobach pozyskiwania, przechowywania danych.
W szczególności użytkownicy powinni być świadomi, dzięki informacji i ostrzeżeniom, w jakich sytuacjach i za sprawą jakich działań funkcja zbierająca dane jest uruchomiona. Co jeszcze ważniejsze, zbieranie danych w trybie „czuwania” urządzenia nie powinno być możliwe.
15 Standard AADC - Narzędzia online (Online tools)
Czym są narzędzia internetowe? Kodeks projektowania w sposób dostosowany do wieku określa, że są to wszelkiego rodzaju mechanizmy ułatwiające dzieciom korzystanie z ich praw w sposób prostszy, bardziej przyjazny oraz świadomy.
Przykładem takich narzędzi mogą być funkcje ułatwiające dostęp do kopii danych osobowych, formularzy skarg, informacji o przysługujących prawach, dostępnych w interfejsach aplikacji, oprogramowania.
Ochrona prywatności dzieci powinna pozwalać im m.in.:
- uzyskać pomoc
- wyrazić dezaprobatę
- uzyskać dodatkowe informacje i wyjaśnienia
- złożyć skargi.
Warto pamiętać, że RODO, stanowiące podstawę także dla ostatniego standardu AACD, przyznaje osobom, których dane dotyczą, prawo do:
- dostępu do nich
- ich usunięcia
- ograniczenia przetwarzania
- sprzeciwu.
Standard Age Appropriate Design Code. Podsumowanie
Nawet bardzo powierzchowne zapoznanie się z przyjętymi w Wielkiej Brytanii rozwiązaniami (kodeks Age Appropriate Design jest już komentowany w prasie), w zakresie ochrony dzieci korzystających z produktów i usług w sieci, uświadamia wagę zmiany, jakiej możemy niebawem się spodziewać w wielu krajach. Także w Polsce.
Przyjęte rozwiązania mają ogromną szansę stać się precedensowymi, a na pewno już są rozwiązaniami prekursorskimi, inspirującymi działania legislacyjne w kolejnych krajach.
Ich słuszność jest oczywista. Skuteczność jest kwestią czasu oraz polityk weryfikacyjnych przyjętych w danych krajach.
Niemniej jednak, już dziś należy być na te zmiany gotowym. W sensie prawnym, biznesowym, projektowym, UX-owym oraz technologicznym.
O tym, jak można już dziś przygotować się do zmian zainicjowanych w Age Appropriate Design Code i jak projektować pod standard AADC omawiamy w tym artykule.