За да обработва лични данни на деца администраторът трябва да разполага с правнооснование за това, а самото обработване следва да се подчинява на принципите по чл.5 отРегламент(ЕС) 2016/679. С цел осигуряване на специална защита на децата онлайн, Комисиятаза защита на личните данни отправя следните съвети и препоръки към администраторите–създатели на дигитални платформи и доставчици на дигитални услуги, които се ползват от деца:
1. При всички решения онлайн винаги трябва да се ръководите от най-висшия интерес надетето!
2. Избягвайте да се позовавате на своя легитимен интерес като основание за обработванена данни на деца! Може да прибегнете до това правно основание, само ако Вашият легитименинтерес съвпада с най-добрия интерес на детето!
3. Ако искате да използвате личните данни на деца и младежи за маркетингови цели(напр. банери, рекламни слотове на видео споделяне на платформи или игри), винаги трябвада отчитате съвпада ли Вашето правно основание с най-добрия интерес на детето. Детето трябвада може да разбере кое е реклама и кое не – рекламата не трябва да бъде проектирана подформата на игра и не трябва да бъде вградена в онлайн игри, така че детето да не може даразличи рекламата от играта.
4. За да се позовете на съгласието на децата като основание за обработване на техниданни, трябва да сте сигурни, че то отговаря на изискванията за съгласие на деца (чл.4, т.11, чл.7 и чл.8 от Регламент(ЕС) 2016/679), като едновременно с това:
• искането за съгласие е ясно формулирано и отделно от други условия за ползване на услугата онлайн;
• не поставяте изискване към потребителите, че даването на съгласие за обработване на данните им е предпоставка/условие за получаване на услугата;
• разполагате с технически решения, които гарантират, че ако съгласието бъде оттеглено, личните данни могат да бъдат незабавно изтрити след оттеглянето му;
• осигурите отделно съгласие за всеки отделен случай на обработка на лични данни (обработване за различни цели).
5. Използвайте като изходна позиция за Вашите услуги (позиция по подразбиране)„повишена поверителност” или „висока неприкосновеност”:
• употребата на личните данни на деца трябва да е ограничена само до това, което е от съществено значение за предоставяне на основната услуга онлайн (напр. създаването на акаунт и използването на сайт за онлайн игри), като всички допълнителни функции (напр. геолокацията) трябва да са деактивирани по подразбиране;
• личните данни на децата могат да са видими или достъпни за други потребители на услугата, само ако детето промени настройките си, за да позволи видимост и достъпност.
6. Разработваният/предлаганият от Вас интерфейс трябва да бъде изграден на принципа на „активния положителен избор” (напр. отметка в квадратче). Мълчанието или бездействието на потребителя онлайн не представляват активен избор. Незаконно е използването на:
• предварително маркирани квадратчета (съгласие по подразбиране);
• технически решения, при които лицето трябва да маркира самò, че не дава съгласието си;
• технически решения от типа „ако не изберете опция, приемаме, че сте съгласни”;
• неясно или общо (за различни цели и услуги) съгласие.
7. Не използвайте подвеждащ и манипулативен дизайн! Настройките за поверителност трябва да се променят лесно, а някои опции, като геолокация, трябва да бъдат деактивирани по подразбиране.
8. Проектирайте и използвайте дизайн на дължимата за дигиталната услуга информация, който и най-малките по възраст потребители (при различни възрастови категории деца) могат да разберат. Децата трябва да могат да разберат за какво се съгласяват. Отговорността да докажете това е Ваша!
9. Предложете онлайн инструменти за изтегляне, изтриване, ограничаване или коригиране на лични данни или за подаване на жалба, за да се ориентират децата по-лесно как да упражняват своите права.
10. Ако обработването на лични данни на деца от Ваша страна е във връзка с пряко предлагане на услуги на информационното общество, то Вие задължително трябва да извършите оценка на въздействието върху защитата на данните, независимо от оценката на риска, която сте извършили преди това (чл.35, пар.4 от Регламент(ЕС) 2016/679; https://cpdp.bg/%d1%81%d0%bf%d0%b8%d1%81%d1%8a%d0%ba-%d0%bd%d0%b0-%d0%b2%d0%b8%d0%b4%d0%be%d0%b2%d0%b5%d1%82%d0%b5-%d0%be%d0%bf%d0%b5%d1%80%d0%b0%d1%86%d0%b8%d0%b8-%d0%bf%d0%be-%d0%be%d0%b1%d1%80%d0%b0%d0%b1%d0%be/).
11. Правете периодичен преглед на предоставяните от Вас дигитални услуги и свързаната с тях оценка на въздействието върху защитата на данните, за да отчитате своевременно развитието на информационните технологии и практики!
12. Когато се проектират (интернет) свързани играчки е необходимо да се вземе предвид следното:
• да се направят лесни стандартните настройки за поверителност;
• да се избягва пасивното събиране на лични данни, а ясно да се посочва и показва кога устройството събира такива данни. Това може да стане под формата на „светване”, когато устройството записва изображения и звук или по друг начин събира лични данни;
• трябва да е лесно да се изключи режимът „събиране на данни” от устройството, например чрез поставяне на бутон „офлайн” директно върху устройството или чрез предоставяне на онлайн функции за това. Би трябвало да е възможно да се използват играчката или устройството във възможно най-голяма степен, без да се налага свързване с интернет;
• да се даде възможност за създаване на различни потребителски профили, които могат да бъдат адаптирани към възрастта на потребителя.