Strona główna > Journal > Jak projektować w sposób dostosowany do wieku? Kodeks AADC (Age Appropriate Design Code)
Journal

Jak projektować w sposób dostosowany do wieku? Kodeks AADC (Age Appropriate Design Code)

Oceń artykuł:

W poprzednim artykule dość szczegółowo omówiliśmy kodeks AADC (Age Appropriate Design Code). Jego poszczególne standardy oraz przyczyny, zasadność ich powstania i wdrażania. 

Dla zabieganych mamy szybką powtórkę. Otóż:

Age Appropriate Design Code (AADC), przygotowany przez brytyjski The Information Commissioner’s Office, to zbiór 15 standardów, zasad wzajemnie powiązanych, mających umocowanie prawne w przepisach GDPR (RODO). 

AADC wyrosło z potrzeby przeciwdziałania nadużyciom, z troski o bezpieczeństwo młodych ludzi. Ma na celu sprawienie, by wykorzystywane dane osobowe osób nieletnich były poddane kontroli oraz znacznemu ograniczeniu.

Główną ideą, stojącą za AADC, jest chęć ochrony praw dzieci i nastolatków (generalnie osób niepełnoletnich), poprzez minimalizację danych osobowych, jakie producenci produktów cyfrowych, usługodawcy zbierają, przetwarzają i udostępniają.

AADC (projektowanie dostosowane do wieku) stanowi uszczegółowienie przepisów obecnych w General Data Protection Regulation (GDPR), czyli w rozporządzeniach unijnych funkcjonujących w Polsce pod skrótem RODO.

W poniższym artykule skupimy naszą uwagę na bardziej praktycznych kwestiach, mianowicie na wpływie nowych legislacji na proces projektowy. Opowiemy, w jaki sposób właściciele biznesu powinni się przygotować do zmian, które - a wszystko na to wskazuje - niebawem staną się uniwersalnym standardem.

Zatem, jeśli jesteście ciekawi jaki impakt mają i będą mieć nowe przepisy oraz jak na ich upowszechnienie przygotować się, koniecznie przeczytajcie ten artykuł.

Zapraszamy do lektury!

Audytujemy. Badamy. Projektujemy.

Znaczenie kodeksu AADC

2 września 2021, po rocznym okresie przejściowym, w Wielkiej Brytanii obowiązuje nowe prawo, którego znaczenie można sprowadzić do sensu:

  • prawnego
  • biznesowego
  • projektowego (UX)
  • wizerunkowego.

The Information Commissioner’s Office (ICO) ma prawo do kontroli organizacji, które działają w internecie, na rynku brytyjskim, a których klientami, użytkownikami są lub mogą być dzieci. 

Kodeks AADC stanowi oficjalne narzędzie i zbiór wytycznych interpretacyjnych, które ICO będą pozwalały nakładać na firmy ograniczenia (np. zakaz zbierania danych osobowych) lub surowe kary grzywny.

Jednym słowem, brak dostosowania się do nowych standardów może firmę kosztować nie tylko utratę ważnego narzędzia pozyskiwania i utrzymywania klientów, ale także może oznaczać straty finansowe oraz wiązać się z utratą reputacji.

kodeks aadc - jak zaprojektować? Informacje
Źródło: Demystifying The Age Appropriate Design Code

Problem wykorzystywania danych osobowych dzieci jest dość drażliwy i nie spełniając wymogów zawartych w AACD bardzo łatwo stracić dobre imię.

Trudno bowiem przekonująco argumentować przeciwko idei minimalizacji ilości zbieranych danych, ich przejrzystości, czy ograniczenia ich udostępniania osobom, instytucjom, organizacjom trzecim. 

Trudno dowodzić, że pięciolatek, dziesięciolatek w pełni świadomie udziela zgody na przetwarzanie danych osobowych, bądź rozumie szerokie konsekwencje śledzenia jego działań, czy lokalizacji.

Trudno dowodzić, że polityki ochrony dzieci nie powinny być dostosowane do ich wieku, możliwości poznawczych, świadomości praw, zagrożeń i niebezpieczeństw.

Trudno skutecznie przekonywać, że zbieranie danych osobowych motywowane chęcią poprawy doświadczeń, ulepszania świadczonych usług, czy personalizowania oferty powinno być dopuszczane, jako opcja domyślna, nie wymagająca osobnej zgody rodzica lub opiekuna prawnego. 

Uwaga! Po wejściu w życie kodeksu AADC firmy, działające na rynku brytyjskim muszą uzyskać zgody rodziców, opiekunów prawnych, jeśli użytkownik ma mniej niż 13 lat. Osoby starsze będą mogły takich zgód udzielić samodzielnie.

Trudno nie popierać czynnie (poprzez dostosowanie się do wymogów kodeksu) prawa dzieci do wolności, swobodnego dostępu do informacji, czy ochrony przed wyzyskiem ekonomicznym, seksualnym.

Trudno będzie uzasadniać nieetyczne lub etycznie dwuznacze praktyki marketingowe, reklamowe, które nakłaniają podatne na sugestie, wpływ, manipulację dzieci do zakupu, kontynuacji użytkowania.

Ryzyko finansowe jest być może najmniej dotkliwym ryzykiem, jakie chce ponieść firma, która nie dostosuje się z różnych powodów do tych przepisów.

Straty wizerunkowe mogą być o wiele bardziej szkodliwe. Reputacja firmy, która nie dba o prawa, dobrostan dzieci może okazać się bardzo kosztowna.

strona www zaprojektowana pod standard aadc
Źródło: ACCS

Zatem, by nie ryzykować takich strat, a można założyć, że etykieta child friendly” stanie się powodem do dumy i będzie stanowić rodzaj emblematu wyróżniającego firmy na rynku, konieczne jest odpowiednie przygotowanie się do spełniania norm.

Jak projektować w sposób dostosowany do wieku?

Oczywiście, pytanie o zakres ochrony dzieci na rynku polskim jest bardzo zasadne, bowiem póki co polscy ustawodawcy nie wprowadzili adekwatnych, analogicznych rozwiązań, sprzyjających tworzeniu produktów, usług przyjaznych dzieciom.

Zarówno tym najmłodszym, jak i tym mającym większe kompetencje do obrony przed działaniami nieetycznych firm.

Niemniej jednak, w sensie ogólnym brytyjskie standardy mają dużą szansę stać się wzorcowymi.

Stąd też dostosowanie się organizacji do nowych standardów, tworzenie produktów przyjaznych niepełnoletnim nie odnosi się tylko do firm działających na rynku brytyjskim. 

Bycie „firmą przyjazną dzieciom” także na polskim rynku może być wyróżnikiem, mającym swój sens biznesowy, strategiczny, handlowy, wizerunkowy oraz związany z User Experience.

age check - projektowanie strony internetowej pod kodeks aadc
Źródło: ACCS

Może skłaniać do tworzenia przyjaznych funkcjonalności, zrozumiałej komunikacji, popularyzacji wiedzy, wykorzystywania urządzeń dostosowanych do umiejętności różnych odbiorców. Może wspierać potrzeby ustanowienia internetu jako przestrzeni wolnej od manipulacji, projektowania UX wykorzystującego przewagę intelektualną.

Komfort najmłodszych użytkowników produktów i usług cyfrowych stanowi przecież core, clue UX. Sprawa jest poważna, bo jak czytamy na stronie Age Check Certification Schemes „56% rodziców martwi się ilością czasu, jaki ich dziecko spędza w sieci. 72% rodziców przyznaje, że ostatnie blokady związane z reżimem covidowym, doprowadziły do zwiększenia ilości czasu spędzanego przez ich dziecko na ekranie”. 

Rozwiązania tego rodzaju w obecnej sytuacji są więc konieczne z różnych powodów - nie tylko etycznych, ale także społecznych. Dostępne aplikacje powinny służyć do rozwoju w stopniu możliwie szerokim, nie powinny natomiast godzić w interes dzieci.

Cytowana powyżej strona ACCS jest bardzo użytecznym narzędziem diagnostycznym, bowiem oferuje zbiór wytycznych, porad, rekomendacji, wskazówek optymalizacji produktu cyfrowego w większości najpopularniejszych branż, w których problem nadużywania praw dzieci jest szczególnie dotkliwy.

W sensie ogólnym, autorzy związani z ACCS, sugerują wykonanie 5 działań, mianowicie rekomendują:

  • pełną, wnikliwą identyfikację odbiorców (Identify your audience, podejście KYC - Know Your Customer)
  • uczynienie aktualnej Polityki Prywatności przyjazną dzieciom (Child-friendly privacy disclosures
  • wyłączenie gromadzenia/udostępniania danych dla wszystkich użytkowników poniżej 18 roku życia (Switch off optional data collection/sharing settings)
  • skorzystanie z pomocy jednostek certyfikujących (Certification schemes)
  • udokumentowanie zgodności za pomocą szablonu zgodności DPIA (Data Protection Impact Assessment - DPIA).

Identyfikacja odbiorców stanowi wyzwanie technologiczne i jest problemem, który wymaga szczególnych narzędzi weryfikacyjnych, stąd też ACCS sugeruje skorzystanie w tym zakresie z usług wyspecjalizowanych firm, których listę można poznać pod tym adresem.

accs, formularz dpia - projektowanie pod aadc
Źródło: ICO

Forma Polityki Prywatności powinna być dostosowana do wieku odbiorców, ich możliwości poznawczych, kompetencji społecznych.

Dlatego rekomendowane jest zwrócenie szczególnej uwagi na język oraz dostosowanie komunikatu (np. poprzez infografiki) do możliwości oraz potrzeb dzieci.

ACCS sugeruje także skorzystanie z oferowanej przez nią usługi audytu, dzięki któremu organizacja będzie w stanie zdiagnozować wszelkie problemy, jakie wynikają z konieczności dostosowania się do 15 standardów AADC.

Dla usług, produktów dopiero powstających sugerowane jest uwzględnienie wymogów AADC jako domyślnych, stanowiących kluczowy element myślenia projektowego, związanego z bezpieczeństwem oraz User Experience.

Warto także rozważyć działania, które firma może wykonać samodzielnie. Chodzi przede wszystkim o:

  • ustalenie, skategoryzowanie, priorytetyzowanie danych, jakie organizacja aktualnie zbiera
  • wyłączenie usług geolokalizacyjnych
  • odstąpienie od wątpliwych etycznie praktyk (np. dark patterns, nudge techniques)
  • ustawienie wysokiego poziomu prywatności, jako domyślnego.

Z pewnością dla firm, których klientami, użytkownikami ich produktów, subskrybentami usług są osoby niepełnoletnie bardzo dobrym rozwiązaniem jest skorzystanie z szerokiego zakresu usług oferowanych przez Age Check Certification Schemes.

ACCS oferuje:

  • sprawdzenie deklaracji zgodności z PAS 1296:2018 (normą odnoszącą się do problemów związanych z prywatnością, bezpieczeństwem, użytecznością, dostępnością i ochroną danych. Norma została opracowana przez British Standards Institute i Digital Policy Alliance)
  • systemy szacowania (Age Estimation), określania wieku (Age Determination) oraz kategoryzacji wiekowej (Age Categorisation)
  • testy penetracyjne sprawdzające wiek (Age Check Penetration Testing)
  • oceny polityki sprawdzania wieku (Age Check Policy Evaluation)
  • oceny jakości sprawdzania wieku (Age Check Quality Evaluation)
  • oceny technicznej zgodności systemu z przyjętymi normami (Age Check Technical Evaluation)
  • metody szacowania wieku za pomocą oceny zachowań (Subject Behaviours)
  • narzędzie przeciwdziałające podszywaniu się i symulowaniu wieku (Presentation Attack Detection)
  • analizy sprzętów używanych do określania wieku (Detection Device Analysis)
  • weryfikację społeczną wieku (Social Proofing)
  • testowanie zgody rodzicielskiej (Parental Consent)
  • wykorzystanie sztucznej inteligencji
  • tokeny wieku i identyfikatory wieku (Age Tokens & Pre-Purchase Age ID).

Szablon zgodności z DPIA (Data Protection Impact Assessment)

Wspomniany powyżej szablon zgodności, który dostępny jest pod tym adresem, pozwala organizacji uzyskać samoświadomość w kwestii ochrony danych osobowych, w tym danych dzieci.

Szablon zgodności z DPIA - projektowanie pod kodeks aadc
Źródło: ICO

Czym jest DPIA? DPIA jest procesem zaprojektowanym do systematycznego analizowania, identyfikowania, minimalizowania ryzyka związanego z ochroną danych. Spełnienie wymogów jest zasadnicze i konieczne, bowiem oznacza zgodność z brytyjskim prawem określonym w GDPR (RODO).

DPIA w szczególności pozwala:

  • poznać i opisać cele, zakres, kontekst oraz charakter zbieranych i przetwarzanych danych
  • oszacować konieczność ich zbierania i przetwarzania
  • poznać proporcjonalność danych koniecznych, niezbędnych oraz mających niższy priorytet i znaczenie z punktu widzenia świadczenia usług
  • zidentyfikować zagrożenia
  • wdrożyć środki przeciwdziałające.

DPIA traktowany powinien być nie tylko jako narzędzie, ale także jako proces, w którym możliwe jest wyróżnienia 7 zasadniczych etapów, w których organizacja:

  • określa potrzebę DPIA
  • opisuje sposoby przetwarzania danych osobowych
  • określa swoje możliwości w zakresie poprawnego oszacowania oraz rozważa możliwość skorzystania z pomocy firm zewnętrznych
  • ocenia konieczność i proporcjonalność
  • identyfikuje i ocenia ryzyka
  • identyfikuje środki łagodzące ryzyko
  • dokumentuje wyniki.

Korzystając z szablonu DPIA w szczególności należy ocenić poziom ryzyka, prawdopodobieństwo oraz ewentualne skutki i wpływ stosowanych rozwiązań na użytkowników. 

Proces ewaluacji, w wyniku którego dostrzeżono wysokie ryzyka powinien prowadzić do niezwłocznych działań oraz skutkować uzyskaniem stosownego certyfikatu.

W proces dostosowania usług, produktów cyfrowych do norm, kodeksu AADC powinni być włączeni wszyscy pracownicy organizacji. Bez względu na zakres ich kompetencji, czy piastowane stanowisko. Podstawą do weryfikacji zgodności zawsze powinien stanowić dokument.

Szacowanie zgodności za pomocą szablonu DPIA rekomendowane jest wszystkim firmom. 

Przy czym, w szczególności powinno być stosowane, gdy organizacja:

  • przetwarza dane na dużą skalę
  • wykorzystuje funkcje profilowania
  • przetwarza dane biometryczne, genetyczne
  • wykorzystuje dane z wielu źródeł
  • zbiera dane dotyczące lokalizacji, zachowań
  • przetwarza dane w celach marketingowych
  • przetwarza dane osobowe, które mogą skutkować ryzykiem fizycznej szkody.

Warto pamiętać także, że zgodnie z wytycznymi zawartymi w artykule pt. „Data protection impact assessments”, szacowanie zgodności za pomocą szablonu DPIA powinno rozpocząć się już na wczesnym etapie projektu. Zdecydowanie przed rozpoczęciem zbierania, przetwarzania i udostępniania danych.

Kodeks projektowania w sposób dostosowany do wieku (Age Appropriate Design Code). Podsumowanie

  1. Age Appropriate Design Code (AADC), przygotowany przez brytyjski The Information Commissioner’s Office, to zbiór 15 standardów, wzajemnie powiązanych, mających umocowanie prawne w przepisach GDPR (RODO).
  2. Ochrona prywatności dzieci stanowi jego główną ideę. Jednocześnie design dostosowany do wieku, projektowanie dla dzieci produktów, usług cyfrowych wraz z nową legislacją brytyjską otwiera nowy okres w UX, UI Designie.
  3. Ochrona przede wszystkim jest realizowana poprzez minimalizację danych osobowych, jakie producenci produktów cyfrowych, usługodawcy zbierają, przetwarzają i udostępniają.
  4. The Information Commissioner’s Office (ICO) ma prawo do kontroli organizacji, które działają w internecie, na rynku brytyjskim, a których klientami, użytkownikami są lub mogą być dzieci.
  5. Kodeks Age Appropriate Design AADC stanowi oficjalne narzędzie i zbiór wytycznych interpretacyjnych, które ICO będą pozwalały nakładać na firmy ograniczenia lub kary finansowe.
  6. Uzyskanie certyfikatu zgodności z kodeksem AADC jest nie tylko kwestią prawną, ale także strategiczną oraz wizerunkową.
  7. Nie spełniając standardów, nie będąc organizacją przyjazną dzieciom (child friendly) bardzo łatwo nadwyrężyć reputację.
  8. Od września 2021 firmy, działające na rynku brytyjskim muszą uzyskać zgody rodziców, opiekunów prawnych, jeśli użytkownik ma mniej niż 13 lat.
  9. Osoby starsze będą mogły takich zgód udzielić samodzielnie.
  10. W sensie ogólnym, brytyjskie standardy mają dużą szansę stać się wzorcowymi. Stąd też dostosowanie się do nowych standardów powinni przemyśleć także polscy właściciele biznesów cyfrowych.
  11. ACCS sugeruje wykonanie 5 działań m.in. wykonanie wnikliwej identyfikacji odbiorców, uczynienie Polityki Prywatności przyjazną dzieciom, skorzystanie z pomocy jednostek certyfikujących, udokumentowanie zgodności za pomocą szablonu zgodności DPIA.
  12. Identyfikacja odbiorców stanowi wyzwanie technologiczne. ACCS sugeruje skorzystanie w tym zakresie z usług wyspecjalizowanych firm.
  13. Dla usług, produktów dopiero powstających sugerowane jest uwzględnienie wymogów AADC jako domyślnych, stanowiących kluczowy element myślenia projektowego, związanego z bezpieczeństwem oraz User Experience.
  14. Firmom, których klientami, użytkownikami, subskrybentami usług są osoby niepełnoletnie rekomendowane jest skorzystanie usług oferowanych przez Age Check Certification Schemes.
  15. Narzędziem, procesem diagnostycznym jest także szablon zgodności z DPIA.
  16. DPIA w szczególności pozwala poznać i opisać cele, zakres, kontekst oraz charakter zbieranych i przetwarzanych danych. Umożliwia także oszacowanie konieczności ich zbierania i przetwarzania.
  17. Korzystając z szablonu DPIA w szczególności należy ocenić poziom ryzyka, prawdopodobieństwo oraz ewentualne skutki i wpływ stosowanych rozwiązań na użytkowników.
  18. Szacowanie zgodności za pomocą szablonu DPIA powinno rozpocząć się już na wczesnym etapie projektu.
  19. Standard Age Appropriate Design wpływa także na proces projektowy. Zdecydowanie należy z niego skorzystać przed rozpoczęciem zbierania, przetwarzania i udostępniania danych. Standard AADC powinien być częścią procesu projektowego już na najwcześniejszym etapie powstawania produktu cyfrowego.
  20. Projektowanie w sposób dostosowany do wieku ma szansę stać się kanonicznym podejściem w ramach User Experience.
Oceń artykuł:
Journal / Redaktor
Autor: Radek
UX Writer i badacz z wykształcenia + doświadczenia. Zbiera wiedzę The Story i dzieli się nią na Journalu.

Jesteś zainteresowany współpracą z nami? Zajrzyj do Portfolio