Защита персональных данных детей по GDPR: основные риски и рекомендаци

ბავშვთა პერსონალური მონაცემების დაცვა GDPR-ის მიხედვით: ძირითადი რისკები და რეკომენდაციები

ბავშვთა პერსონალური მონაცემები მათი დამუშავებისას ერთ-ერთ ყველაზე მნიშვნელოვანკატეგორიას მიეკუთვნება. ამიტომ კომპანიები, რომლებიც ასეთ მონაცემებს ამუშავებენ ან პოტენციურად შეიძლება ამუშავებდნენ, რეგულატორის მხრიდან გაძლიერებული ზედამხედველობის ქვეშ იმყოფებიან.

ცოტა ხნის წინ გაერთიანებული სამეფოს მონაცემთა დაცვის რეგულატორმა 247 590 ფუნტი სტერლინგის ოდენობის დააჯარიმა კომპანია MediaLab.AI, Inc.-ს (MediaLab), რომელიც — სურათების გაზიარებისა და განთავსების პლატფორმის —  მფლობელია, ბავშვების პირადი ინფორმაციის არასათანადო გამოყენებისთვის. 

გამოძიების ფარგლებში დადგინდა, რომ MediaLab ბავშვებს აძლევდა Imgur-ით სარგებლობის შესაძლებლობასიმ ძირითადი დაცვის ზომების გარეშე, რომლებიც გაერთიანებული სამეფოს მონაცემთა დაცვის კანონმდებლობით არის მოთხოვნილი.

ეს ნიშნავს, რომ MediaLab-მა კანონი შემდეგნაირად დაარღვია:

  • მომხმარებლების ასაკის გადამოწმების მიზნით არ მიიღო არანაირი ზომა;
  • 13 წლამდე ასაკის ბავშვების პერსონალურ მონაცემებს ამუშავებდა მშობლის თანხმობის ან სხვა სამართლებრივი საფუძვლის გარეშე ონლაინ-სერვისების მიწოდებისას;
  • არ ჩაუტარებია მონაცემთა დაცვის ზემოქმედების შეფასება ბავშვების კონფიდენციალურობის რისკების გამოსავლენად და შესამცირებლად.

რას ამბობს GDPR?

GDPR ადგენს, რომ ბავშვის პერსონალური მონაცემების დამუშავება კანონიერად ითვლება, თუ ბავშვს 16 წელი შეუსრულდა. თუ ბავშვი 16 წლამდეა, დამუშავება დასაშვებია მხოლოდ მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის არსებობის შემთხვევაში. ევროკავშირის წევრ სახელმწიფოებს შეუძლიათ განსაზღვრონ უფრო დაბალი ასაკი, მაგრამ არანაკლებ 13 წლისა.

იმის გასარკვევად, თუ რომელი მინიმალური ასაკია დადგენილი თქვენს იურისდიქციაში, უნდა მიმართოთ მონაცემთა დაცვის ეროვნულ ორგანოს.

რა პასუხისმგებლობაა გათვალისწინებული შეუსრულებლობისთვის?

როგორც წესი, პასუხისმგებლობის ძირითადი ზომა არის ადმინისტრაციული ჯარიმა. GDPR დარღვევის სიმძიმის მიხედვით ჯარიმების სხვადასხვა ოდენობას ადგენს, თუმცა ჯარიმამ შეიძლება მიაღწიოს 20 000 000 ევროს ან — ორგანიზაციების შემთხვევაში — წინა ფინანსური წლის მთლიანი მსოფლიო წლიური ბრუნვის 4%-ს (იმის მიხედვით, რომელი უფრო მაღალია).

რა უნდა გვახსოვდეს?

თუ თქვენი კომპანია ამუშავებს ბავშვთა პერსონალურ მონაცემებს, პერსონალური მონაცემების არასათანადო დამუშავებისთვის პასუხისმგებლობის რისკების შესამცირებლად გირჩევთ დაიცვათ შემდეგი წესები:

წესი 1. შეამოწმეთ თქვენი Privacy Policy, შეიცავს თუ არა ის აუცილებელ ინფორმაციას.

GDPR მოითხოვს, რომ Privacy Policy სავალდებულოდ შეიცავდეს:

  1. ინფორმაციას კონტროლერისა და პროცესორების შესახებ (იურიდიული მისამართი, საკონტაქტო მონაცემები);
  2. მონაცემთა დამუშავების მიზნებს;
  3. დამუშავებული მონაცემების კატეგორიებს;
  4. დამუშავების სამართლებრივ საფუძვლებს;
  5. მონაცემთა შენახვის ვადებს;
  6. ინფორმაციას მესამე პირების შესახებ, რომლებსაც მონაცემები გადაეცემათ, და ასეთი გადაცემის მიზნებს;
  7. მონაცემთა ტრანსსასაზღვრო გადაცემის წესს (თუ გამოიყენება);
  8. მონაცემთა დაცვისთვის მიღებული ზომების ჩამონათვალს;
  9. მონაცემთა სუბიექტების უფლებებს და მათი განხორციელების წესს;
  10. დანიშნული DPO-ს შესახებ ინფორმაციას (კორპორაციული ელექტრონული ფოსტის მისამართი).

წესი 2. მოარგეთ Privacy Policy ისე, რომ ბავშვმა მისი გაგება შეძლოს.

თუ თქვენი კომპანიის საქმიანობა ბავშვებზეა ორიენტირებული, კომპანიამ უნდა უზრუნველყოს, რომ ბავშვებისთვის განკუთვნილი ნებისმიერი ინფორმაცია და შეტყობინება იყოს ადვილად ხელმისაწვდომი და ბავშვისთვის გასაგებ ენაზე გადმოცემული.

შეინარჩუნეთ მაქსიმალურად მარტივი და მკაფიო გადმოცემის სტილი და ნუ გადატვირთავთ ტექსტს რთული იურიდიული ტერმინებითა და ფორმულირებებით. Privacy Policy-ის გაფორმებისას გამოიყენეთ გრაფიკული ელემენტები, მაგალითად, მულტიპლიკაციური სტილის ილუსტრაციები, რათა ბავშვებს თვალსაჩინოდ აუხსნათ, რა მონაცემებს აზიარებენ.

წესი 3. მიიღეთ მშობლის თანხმობა ბავშვის მონაცემების დამუშავებაზე.

GDPR მოითხოვს ბავშვის პერსონალური მონაცემების დამუშავებაზე მშობლის აშკარა თანხმობის მიღებას, თუმცა ამერიკული COPPA-სგან განსხვავებით, ასეთი თანხმობა ვერიფიცირებული არ უნდა იყოს.

იმის გასაგებად, საჭიროა თუ არა მშობლის თანხმობა, საწყის ეტაპზე, ვებსაიტზე ან აპლიკაციაში შესვლისას, შესაძლებელია მომხმარებელს ჰკითხოთ მისი ასაკი.

კომპანიამ არსებული ტექნოლოგიების გათვალისწინებით უნდა შეამოწმოს მშობლის თანხმობის კანონთან შესაბამისობა. ეს ნიშნავს, რომ თქვენმა კომპანიამ უნდა დანერგოს ასაკის გადამოწმების ზომები (მაგალითად, საკონტროლო კითხვები, დამატებითი მოქმედებები ვებსაიტზე).

წესი 4. უზრუნველყავით ბავშვის პერსონალური მონაცემების უსაფრთხოება.

ზოგადი წესის მიხედვით, კომპანია ვალდებულია უზრუნველყოს ყველა მომხმარებლის პერსონალური მონაცემების უსაფრთხოება ასაკის მიუხედავად. თუმცა ბავშვთა პერსონალური მონაცემები დაცვის უფრო მაღალ დონეს მოითხოვს.

განიხილეთ დამატებითი დაცვის ზომების მიღება:

  1. უზრუნველყავით ბავშვის მონაცემების შენახვის მინიმალური ვადა;
  2. დააწესეთ ბავშვთა პერსონალური მონაცემების მესამე პირებისთვის გადაცემის აკრძალვა ან შეზღუდვა;
  3. დააწესეთ ანალიტიკისა და რეკლამის მიზნებისთვის მონაცემთა შეგროვების აკრძალვა ან შეზღუდვა;
  4. მიიღეთ დამატებითი ზომები მონაცემთა ტექნიკური დაცვის უზრუნველსაყოფად.

შეჯამების სახით, როგორც კომპანიისთვის, ისე მომხმარებლებისთვის უარყოფითი შედეგების თავიდან ასაცილებლად, აუცილებელია ბავშვთა მონაცემების დაცვის შესახებ სამართლებრივი მოთხოვნების დაცვა. ამისათვის მიჰყევით რეკომენდაციებს და რეგულარულად ჩაატარეთ მონაცემთა დამუშავების პროცესების აუდიტი.

REVERA-ს იურისტთა გუნდი მზად არის გაგიწიოთ პროფესიული კონსულტაცია GDPR-ის საკითხებზე, რათა დარწმუნდეთ, რომ თქვენი პროცესები სრულად შეესაბამება კანონმდებლობას.

Authors: Liudmila Yepikhava, Aliaksandra Mahlysh.

 

Contact a lawyer for further information

Contact a lawyer

დაწვრილებით

სიახლეები

ცვლილებები საქართველოს კანონში "შრომითი მიგრაციის შესახებ" (

ცვლილებები საქართველოს კანონში "შრომითი მიგრაციის შესახებ" ( სიახლეები

Топ изменений законодательства в сфере фармацевтики и здравоохранения за 2025 год

Топ изменений законодательства в сфере фармацевтики и здравоохранения за 2025 год სიახლეები

იურიდიული შეტყობინება

იურიდიული შეტყობინება