ICO nakłada grzywnę na MediaLab za naruszenie prywatności dzieci

Urząd ds. Informacji nałożył na MediaLab.AI, Inc., właściciela platformy do udostępniania zdjęć Imgur, grzywnę w wysokości 247 590 funtów za poważne uchybienia związane z ochroną danych osobowych dzieci.

MediaLab to amerykańska spółka holdingowa z branży technologicznej, która jest właścicielem i operatorem portfolio znanych platform cyfrowych, w tym:

Grafika: Freepik

➡️ Imgur (udostępnianie i hosting obrazów),

➡️ Genius (platforma z tekstami piosenek),

➡️ inne usługi internetowe i społecznościowe.

Imgur to duża, dostępna na całym świecie platforma z treściami tworzonymi przez użytkowników i modelami biznesowymi opartymi na reklamach, co sprawia, że ochrona danych i obowiązki związane z projektowaniem odpowiednim dla wieku są szczególnie istotne.

W wyniku dochodzenia ICO stwierdziło, że w okresie od września 2021 r. do września 2025 r. firma MediaLab przetwarzała dane osobowe dzieci z naruszeniem brytyjskiego RODO.

Najważniejsze uchybienia obejmowały:

Brak weryfikacji wieku

MediaLab nie wdrożył żadnych środków w celu sprawdzania wieku użytkowników, mimo że serwis Imgur był dostępny dla dzieci.

Brak zgody rodziców

Dzieci poniżej 13 roku życia mogły korzystać z platformy bez zgody rodziców, mimo że brytyjskie przepisy UK GDPR wyraźnie tego wymagają, gdy zgoda stanowi podstawę prawną.

Brak oceny ryzyka dotyczącej ochrony danych (DPIA)

MediaLab nie przeprowadził oceny ryzyka dotyczącej ochrony danych (DPIA) w celu zidentyfikowania i ograniczenia ryzyka dla dzieci.

Narażenie na szkodliwe treści

Ponieważ MediaLab nie wiedział, którzy użytkownicy są dziećmi, nieletni byli potencjalnie narażeni na:

➡️ treści seksualne i przemocowe,

➡️ treści związane z zaburzeniami odżywiania,

➡️ mowę nienawiści i materiały dyskryminujące.

ICO jasno stwierdziło, że określenie ograniczeń wiekowych w warunkach korzystania z usługi nie jest wystarczające bez technicznego i organizacyjnego egzekwowania tych ograniczeń.

Dzieci wymagają szczególnej ochrony

Zgodnie z brytyjskim RODO:

➡️ dane osobowe dzieci wymagają wzmocnionej ochrony,

➡️ usługi online dostępne dla dzieci muszą być zgodne z Kodeksem dziecięcym,

➡️ weryfikacja wieku musi być proporcjonalna do ryzyka,

➡️ a w przypadku dzieci poniżej 13 roku życia wymagana jest zgoda rodziców.

Dla organizacji działających w Internecie sprawa ta stanowi wyraźne przypomnienie, że większość przepisów dotyczących prywatności zawiera wyraźne zabezpieczenia dla dzieci.

Zazwyczaj oznacza to:

➡️ progi wiekowe,

➡️ wymóg zgody rodziców,

➡️ wyższe domyślne ustawienia prywatności,

➡️ oraz dodatkowe obowiązki w zakresie przejrzystości.

Jeśli usługa online jest dostępna dla dzieci, organizacja musi:

➡️ wdrożyć odpowiednie mechanizmy weryfikacji wieku lub zapewnienia wieku,

➡️ utrzymywać politykę prywatności jasno odnoszącą się do danych dzieci,

➡️ przygotować ocenę skutków dla ochrony danych (DPIA),

➡️ oraz określić podstawy prawne takiego przetwarzania.

Z mojego doświadczenia w doradzaniu organizacjom w zakresie ochrony danych osobowych wynika, że przetwarzanie danych dzieci zawsze wiąże się z dodatkowymi obowiązkami i ryzykiem. Jeśli dane dzieci nie są niezbędne dla modelu biznesowego, często zalecam całkowite zrezygnowanie z ich przetwarzania, zwłaszcza w przypadku najmłodszych grup wiekowych, w przypadku których wymogi regulacyjne są najsurowsze.

Link

Autor: Sebastian Burgemejster