Aktualizacje dotyczące COPPA

Wreszcie pozytywny krok na szczeblu federalnym w Stanach Zjednoczonych w dziedzinie ochrony prywatności dzieci.

FTC sfinalizowała długo oczekiwane zmiany w ustawie COPPA – są to pierwsze poważne zmiany od 2013 roku. Zmienione przepisy wejdą w życie 23 czerwca 2025 r., a większość podmiotów objętych regulacjami będzie musiała dostosować się do nich do 22 kwietnia 2026 r.

Link

Ma to znaczenie, ponieważ ochrona dzieci w Internecie w oparciu o przepisy, które w dużej mierze powstały na początku lat 2010., po prostu już nie wystarcza.

Foto: Freepik

Zaktualizowane wytyczne FTC wprowadzają kilka istotnych zmian. Podmioty objęte przepisami COPPA muszą uzyskać odrębną, weryfikowalną zgodę rodziców przed ujawnieniem danych osobowych dzieci stronom trzecim w celu wyświetlania reklam ukierunkowanych lub w innych celach. Przepisy te zaostrzają również ograniczenia dotyczące przechowywania danych, jasno określając, że dane osobowe dzieci nie mogą być przechowywane bezterminowo i muszą być przechowywane wyłącznie tak długo, jak jest to racjonalnie konieczne do realizacji konkretnego celu, w jakim zostały zebrane.

Rozszerzono również definicję danych osobowych, tak aby obejmowała ona między innymi identyfikatory biometryczne i identyfikatory wydane przez organy rządowe. Jest to szczególnie ważne w świecie, w którym odciski głosowe, odciski twarzy, wzorce chodu, dane genetyczne i inne sygnały biometryczne mogą być wykorzystywane do identyfikacji lub profilowania dzieci w sposób, który nie był realny w momencie ostatniej aktualizacji COPPA.

Aktualizacja zwiększa również wymogi dotyczące przejrzystości w odniesieniu do zatwierdzonych przez FTC programów „COPPA Safe Harbor”, obejmujące publiczne listy członków oraz dodatkowe sprawozdania składane do FTC.

Moim zdaniem jest to krok we właściwym kierunku, ale to za mało.

W UE dzieci korzystają z silniejszej podstawowej ochrony w ramach GDPR, chociaż duże platformy społecznościowe i usługi cyfrowe nadal stwarzają bardzo poważne problemy praktyczne. Prawa to jedno. Prawdziwa ochrona, egzekwowanie przepisów, „dark patterns”, projektowanie uzależniające, technologie reklamowe i weryfikacja wieku to coś zupełnie innego.

Moim zdaniem największym pozostałym problemem nadal jest to:

Jak możemy wiarygodnie stwierdzić, czy użytkownik jest dzieckiem?

Bez odpowiednich mechanizmów weryfikacji wieku wiele obowiązków pozostaje trudnych do wyegzekwowania w praktyce. Polityki prywatności i warunki korzystania z usług to za mało. Pole wyboru z pytaniem „Czy masz ponad 13 lat?” to za mało. Samodzielnie podana data urodzenia często to za mało. Jeśli istnieje prawdopodobieństwo, że z usługi będą korzystać dzieci, projekt musi odzwierciedlać to ryzyko.

Egzekwowanie przepisów w Kalifornii już wskazuje kierunek.

Sprawy dotyczące gier mobilnych, serwisów streamingowych, platform cyfrowych związanych ze szkołą oraz danych dzieci pokazały, że organy regulacyjne zwracają uwagę nie tylko na politykę prywatności i warunki korzystania z usług, ale także na rzeczywiste mechanizmy kontroli wieku.

Autor: Sebastian Burgemejster