Kodeks AADC - projektowanie w sposób dostosowany do wieku (Age Appropriate Design Code)

Dzieci jako najsłabsi, najgorzej chronieni użytkownicy Internetu

Wczytywanie się w cykliczne raporty, badania i artykuły, przygotowywane przez UNICEF, jak choćby „Investigating Risks and Opportunities for Children in a Digital World”, czy „Contextualising the link between adolescents’ use of digital technology and their mental health: a multi‐country study of time spent online and life satisfaction” uświadamia, że dzieci i nastolatkowie są ważną częścią odbiorców treści internetowych.

Niestety, ich znaczenie biznesowe dotychczas nie szło w parze z wagą ich praw i interesów.

Mówiąc wprost - dzieci i młodzież - nie doczekali się adekwatnej, realnej, skutecznej ochrony. W szczególności jako użytkownicy sieci - klienci, gracze, subskrybenci, odbiorcy treści.

Dzieci w sieci - był to temat dotychczas zaniedbywany. Najmłodsi stali się przedmiotem poważnej debaty publicznej stosunkowo późno. Ale koniec końców także ta grupa przyciągnęła uwagę aktywistów, mediów i polityków.

Sednem podjętych prac, analiz, diagnoz było stworzenie rozwiązań mających chronić ich interesy oraz dobrostan. Choć w skali Europy inicjatyw było wiele, znaczącym przełomem okazała się - i zapewne okaże się niebawem jeszcze większym - inicjatywa brytyjskiego The Information Commissioner’s Office.

ICO - brytyjski odpowiednik polskiego Urzędu Ochrony Danych Osobowych (UODO) - stworzył bardzo istotny z punktu widzenia bezpieczeństwa i interesów dzieci i nastolatków kodeks, który wyznacza ramy, standardy oraz kierunki ochrony dzieci w przestrzeni internetowej.

Przyjęty 02.09.2020 roku przez Parlament Brytyjski dokument w pierwszej kolejności ma służyć załataniu luki prawnej oraz lepszej ochronie danych osobowych osób niepełnoletnich.

Z punktu widzenia User Experience, standardów projektowania aplikacji webowych, aplikacji mobilnych, produktów i usług cyfrowych wejście w życie nowego prawa i normy ma ogromne znaczenie.

Wyznacza bowiem standardy projektowe, w ramach których interesy dzieci i młodzieży będą musiały być respektowane oraz uwzględniane jako istotna zmienna. Wpływająca nie tylko na ostateczny projekt produktu cyfrowego, ale także rzutująca na proces projektowy.

Zapoznanie się - choćby ogólne - z przyjętymi rozwiązaniami jest koniecznością dla agencji UX, software house`ów, agencji interaktywnych, czy firm produkujących gry, a nawet zabawki.

O co zatem chodzi w AADC i w jakim sensie jest ono uzupełnieniem prawa, które przyjęte zostało wraz z RODO (General Data Protection Regulation - GDPR)?

Jaki zakres obejmuje kodeks Age Appropriate Design Code?

W naturalny sposób pojawia się pytanie, jakie branże muszą w szczególności respektować 15 standardów kodeksu ICO?

Kodeks AADC w szczególności obejmuje i dotyczy:

• firm projektujących, udostępniających aplikacje webowe oraz mobilne
• platform społecznościowych
• dystrybutorów gier dostępnych online
• platform VOD oraz platform streamingowych
• platform e-learningowych
• producentów interaktywnych zabawek
• producentów oprogramowania
• E-Commerce / M-Commerce
• wyszukiwarek internetowych
• operatorów płatności online (w szczególności tzw. mikropłatności)
• mediów online
• wszelkich stron internetowych oferujących użytkownikom inne towary lub usługi za pośrednictwem Internetu.

Generalnie rzecz ujmując, zastosować się do nowych standardów powinni wszyscy producenci i usługodawcy, których bezpośrednimi lub pośrednimi odbiorcami i klientami są dzieci. A mówiąc ściśle osoby niepełnoletnie.

Age Appropriate Design Code ma na celu także promowanie wzorca rozwiązań przyjaznych dzieciom (Child Friendly) nawet, jeśli dzieci nie są bezpośrednimi odbiorcami treści, usług, czy produktów.

Wszystko jednak wskazuje na to, że kodeks AADC nie będzie kolejnym martwym prawem. Jak czytamy w artykule pt. „ICO Age Appropriate Design Code Enters Into Force” organizacje, które nie będą przestrzegać kodeksu będą pociągane do odpowiedzialności przez ICO.

Przewidziane kary obejmują między innymi konieczność zaprzestania przetwarzania danych osobowych oraz grzywnę do 4% ogólnych obrotów organizacji.

15 standardów ochrony danych osobowych dzieci według ICO

Kodeks AADC to zbiór 15 standardów, norm, rekomendacji, których celem jest uregulowanie problemu nieadekwatności treści, usług, produktów oferowanych dzieciom.

W dokumencie omawiającym poszczególne standardy pt. „Age appropriate design: a code of practice for online services” czytamy między innymi, że aktualnie dzieci mają zbyt łatwy i niczym nieograniczony dostęp do treści, usług, produktów, które nie uwzględniają ich wieku oraz wynikającej z tego ograniczonej zdolności do rozumienia i kontrolowania konsekwencji wykorzystania ich danych osobowych. 

Przed wprowadzeniem kodeksu AADC na terenie Wielkiej Brytanii możliwe było projektowanie usług w sposób, który potencjalnie przedkładał interesy handlowe ponad interes dzieci.

Wraz z wejściem w życie nowego standardu ta sytuacja ma ulec diametralnej zmianie.

Przyjrzyjmy się zatem z bliska poszczególnym standardom.

1 Standard AADC - Najlepszy interes dziecka (Best interests of the child)

Dokument przygotowany przez ICO pt. „Age appropriate design: a code of practice for online services”, w skrótowy sposób opisuje pierwszy standard, zgodnie z którym podczas projektowania i opracowywania usług online, do których dziecko może mieć dostęp, należy przede wszystkim wziąć pod uwagę jego dobro.

Podstawę, umocowanie prawne dla pierwszego standardu AADC stanowi artykuł 3  Konwencji Narodów Zjednoczonych o prawach dziecka (UNCRC), zgodnie z którym najlepszym interesem dziecka jest to, co jest dla niego najlepsze.

A więc sprzyjające jego rozwojowi fizycznemu, emocjonalnemu, intelektualnemu, społecznemu. Zgodnie z Konwencją, dziecko posiada także prawo do prywatności oraz prawo wolności od wyzysku ekonomicznego.

Dlatego też dzieci powinny być:

• chronione przed możliwością wyzysku handlowego
• wspierane w rozwoju poglądów oraz tożsamości
• wspierane w utrzymywaniu dobrego samopoczucia, zdrowia
• chronione przed ograniczeniami wolności.

Ramę najlepiej pojętego interesu dziecka powinno stanowić jego:

• bezpieczeństwo i zdrowie
• dobre samopoczucie
• dobre relacje rodzinne
• prawidłowy rozwój fizyczny, psychiczny i emocjonalny.

Szczegóły, dotyczące tych problemów, znaleźć można w osobnym dokumencie pt. „Children’s code: best interests framework”.

2 Standard AADC - Ocena skutków ochrony danych (Data protection impact assessments)

Założenie przyświecające drugiej z kolei normie brzmi następująco: brak zastosowania ram w celu rozważenia ryzyka wynikającego z przetwarzania danych oraz szerszych konsekwencji ich wykorzystania, zwiększa prawdopodobieństwo wystąpienia szkód.

Ponadto, w dokumencie pt. „Age appropriate design: a code of practice for online services Impact assessment”, czytamy, że wdrożenie tego standardu pozwala:

• minimalizować ryzyka już na wczesnym etapie
• zmniejszyć koszty, wynikające z konieczności dostosowania projektu do normy
• uczynić normę rutyną projektową, co chroni nie tylko dzieci, ale także właścicieli biznesu przed stratami (np. finansowymi, wizerunkowymi - związanymi z reputacją)
• zamanifestować wartości, odpowiedzialność
• skuteczniej dowodzić swoich racji w sądach.

Ocenę, walidację w tym zakresie najlepiej przeprowadzić poprzez skonfrontowanie projektu z wytycznymi zawartymi w dokumencie pt. „How do we do a DPIA?”

3 Standard AADC - Aplikacja adekwatna do wieku (Age Appropriate Application)

Obowiązkiem twórców, właścicieli biznesów jest dostosowanie aplikacji do wieku i tym samym możliwości, potrzeb, ograniczeń użytkowników. Dzieci w różnych etapach rozwoju cechują się różnymi potrzebami. Wymagają także różnego zakresu, charakteru, sposobu ochrony ich praw i wolności.

Klarowne, precyzyjne określenie wieku przyszłych odbiorców pozwala dostosować, adekwatne do stadium rozwojowego, zabezpieczenia.

Szczegółowo - możliwości, potrzeby, ograniczenia (także prawne) - autorzy AADC opisują w osobnym aneksie („Annex B: Age and developmental stages").

4 Standard AADC - Przejrzystość (Transparency)

Przejrzystość w kodeksie AADC odnosi się do kilku kwestii. Między innymi do prostego, zrozumiałego, uczciwego:

• informowania użytkowników o zawartości, przy czym komunikat powinien być w sensie językowym dostosowany do wieku dziecka
• formułowania regulaminów, wyjaśnień.

Ponadto decyzje w kwestii akceptowania regulaminów, wyrażania zgód powinny być uzależnione od możliwości prawidłowego zrozumienia ich treści, zrozumienia ich konsekwencji.

Ponadto wraz z obniżaniem się wieku użytkowników powinny być wyrażane z pomocą rodziców lub dorosłych opiekunów.

Więcej o problemie Przejrzystości można przeczytać w artykule pt. „Principle (a): Lawfulness, fairness and transparency”.

5 Standard AADC - Szkodliwe wykorzystanie danych (Detrimental use of data)

Przez szkodliwe wykorzystanie danych autorzy kodeksu AADC rozumieją takie wykorzystanie, które negatywnie wpływa na zdrowie fizyczne, psychiczne, samopoczucie. Które jest niezgodne z branżowymi kodeksami postępowania lub innymi rekomendacjami środowiskowymi, regulacjami prawnymi.

Dobrą praktyką w tym zakresie jest m.in.:

• unikanie wzmacniania zaangażowania, zależności dzieci poprzez oferowanie korzyści, które są możliwe do uzyskania z pomocą danych osobowych
• unikanie sugerowania straty w wyniku zaprzestania korzystania z usługi lub aplikacji
• unikanie wykorzystywania funkcji automatyzujących korzystanie, kosztem wolnego wyboru
• oferowanie możliwości dokonania przerwy bez poczucia straty.

11 Standard AADC - Kontrola rodzicielska (Parental controls)

Rozwiązania projektowe, wykorzystywanie nowoczesnych funkcjonalności oraz technologii (np. AI) nie zawsze jest w stanie zastąpić roli, funkcji oraz wagi działań podejmowanych przez samych rodziców.

Mogą oni korzystać z narzędzi kontroli rodzicielskiej, przy czym kodeks ICO - kierując się szlachetnymi i jednocześnie bardzo trzeźwymi przesłankami - omawia ten problem w całej jego złożoności.

O ile, kontrola rodzicielska - z definicji - ma służyć dzieciom oraz zabezpieczać ich najlepszy interes, o tyle sama może być źródłem nadużyć. Stąd też w AADC jasno rekomenduje się oferowanie dzieciom wyjaśnień, czym jest kontrola rodzicielska, jakie ma funkcje oraz jakie może mieć dla nich konsekwencje.

Wskazane jest poinformowanie dzieci o możliwości monitorowania ich działań przez rodziców. Warto przy tym pamiętać, że im dziecko jest starsze tym ważniejsze jest fortunne poinformowanie go o prawie do poszanowania jego prywatności.

12 Standard AADC - Profilowanie (Profiling)

W RODO profilowanie zostało zdefiniowane jako każda forma zautomatyzowanego przetwarzania danych osobowych. W szczególności chodzi o wykorzystanie danych osobowych do oceny, analizy, przewidywania zachowań, sytuacji (np. ekonomicznej, zdrowotnej), preferencji, planów użytkowników.

Zgodnie z AADC profilowanie powinno być domyślnie funkcją nieaktywną. Może być włączona domyślnie, o ile jej używanie jest niezbędne do świadczenia podstawowych funkcji lub wynika, z nałożonych przez prawo na podmiot, obowiązków.

Usługodawca, chcąc wykorzystywać funkcje profilowania, zobowiązany jest do poinformowania użytkowników w sposób wyczerpujący o tym fakcie i jego konsekwencjach. W sposób, spełniający wymagania standardu przejrzystości.

Celem ograniczenia (nie zakazania) profilowania jest minimalizowanie ryzyka ekspozycji dzieci na kontakt z treściami dla nich potencjalnie szkodliwymi i tym samym redukowanie ewentualnych szkód.

13 Standard AADC - Nudge techniques

Nudge techniques, w najogólniejszym sensie, polegają na nakłanianiu, zachęcaniu dzieci do wykonywania działań, które są pożądane z punktu widzenia usługodawcy, właściciela biznesu cyfrowego i wątpliwe z punktu widzenia użytkownika.

Sugerowanie „właściwych”, „pożądanych”, „oczekiwanych”, czy „opłacalnych” zachowań i działań jest równie popularne w ramach projektowania, wykorzystującego nudge techniques, jak utrudnianie, ukrywanie dokonywania wyborów nie preferowanych przez organizację.

Zgodnie z wykładnią i normą ICO, techniki tego rodzaju są sprzeczne z zasadą przejrzystości, która w szczególności jest ważna w przypadku dzieci. Osoby niepełnoletnie, mające ograniczone możliwości rozpoznania takich manipulacji powinny być w szczególności chronione.

Aprobowanym wykorzystaniem nudge techniques są wszelkie sytuacje, w których zachęca się dziecko do wyboru bardziej restrykcyjnej ochrony prywatności. Odnosi się to także do funkcjonalności, które mają na celu nakłanianie dzieci do zrobienia sobie przerwy, gdy czas korzystania z usługi jest zbyt długi i godzący w ich dobrostan.

Design dostosowany do wieku jest więc także narzędziem dość racjonalnie pomyślanym. Narzędziem czyniącym projektowanie dla dzieci procesem, w którym tworzenie (np. strony), wykorzystywane narzędzia i techniki mają służyć lepszej komunikacji, zwiększaniu wiedzy jej użytkowników.

Jednym słowem projektowanie dostosowane do wieku ma być adekwatne do umiejętności oraz różnych potrzeb młodych ludzi.

Przy czym nie chodzi o restrykcje, ale o poszukiwanie rozwiązań w równym stopniu gwarantujących bezpieczeństwo, co czyniące z procesu tworzenia sposób na uzyskanie produktów wygodnych.

Dostępne rozwiązania, jak widać na przykładzie nudge techniques, można użyć na różne sposoby, także pozytywne.

14 Standard AADC - Podłączone do internetu zabawki i urządzenia (Connected toys and devices)

Przedostatni standard zwraca uwagę na coraz częstszy problem ochrony danych osobowych, które są zbierane za pomocą zabawek i urządzeń fizycznych, które są podłączone do internetu.

Urządzeniami, które mogą naruszać prawa dzieci są na przykład aparaty fotograficzne, mikrofony, opaski fitness, interaktywne głośniki. Producenci zabawek i urządzeń zobowiązani są we własnym zakresie do ochrony dzieci w sieci. Deponowanie odpowiedzialności na podmioty zewnętrzne jest uznawane na gruncie AACD za istotne naruszenie ich praw.

Użytkownicy zabawek i urządzeń muszą w punktach sprzedaży, w procesie konfiguracji, na opakowaniach przekazywać pełne informacje o sposobach pozyskiwania, przechowywania danych.

W szczególności użytkownicy powinni być świadomi, dzięki informacji i ostrzeżeniom, w jakich sytuacjach i za sprawą jakich działań funkcja zbierająca dane jest uruchomiona. Co jeszcze ważniejsze, zbieranie danych w trybie „czuwania” urządzenia nie powinno być możliwe.

15 Standard AADC - Narzędzia online (Online tools)

Czym są narzędzia internetowe? Kodeks projektowania w sposób dostosowany do wieku określa, że są to wszelkiego rodzaju mechanizmy ułatwiające dzieciom korzystanie z ich praw w sposób prostszy, bardziej przyjazny oraz świadomy.

Przykładem takich narzędzi mogą być funkcje ułatwiające dostęp do kopii danych osobowych, formularzy skarg, informacji o przysługujących prawach, dostępnych w interfejsach aplikacji, oprogramowania.

Ochrona prywatności dzieci powinna pozwalać im m.in.:

• uzyskać pomoc
• wyrazić dezaprobatę
• uzyskać dodatkowe informacje i wyjaśnienia
• złożyć skargi.

Warto pamiętać, że RODO, stanowiące podstawę także dla ostatniego standardu AACD, przyznaje osobom, których dane dotyczą, prawo do:

• dostępu do nich
• ich usunięcia
• ograniczenia przetwarzania
• sprzeciwu.