ICO Великобритании оштрафовало Reddit на £14,5 млн за незаконный сбор данных детей
Британское управление по защите данных (ICO) оштрафовало Reddit на £14,47 млн за нарушение правил обработки персональных данных несовершеннолетних младше 13 лет.
Британское управление уполномоченного по информации (ICO) оштрафовало платформу Reddit на сумму £14,47 млн (около $19,5 млн) за незаконный сбор и обработку персональных данных детей младше 13 лет. Это решение подчеркивает неспособность платформы обеспечить достаточные меры защиты данных несовершеннолетних, что является нарушением Общего регламента по защите данных Великобритании (UK GDPR) и Кодекса для детей (Age Appropriate Design Code).
Основные выводы и нарушения
Расследование ICO выявило, что практики Reddit в период с 2016 по 2021 год не соответствовали требованиям законодательства о защите данных, особенно в части конфиденциальности детей. Согласно UK GDPR, организации обязаны обеспечивать законность, справедливость и прозрачность обработки персональных данных, особенно когда речь идет о данных несовершеннолетних. Кодекс для детей, введенный в 2020 году, дополнительно обязывает цифровые сервисы, которые могут использоваться детьми, учитывать их интересы, включая настройки конфиденциальности по умолчанию и минимизацию сбора данных.
Нарушения Reddit включали:
- Отсутствие проверки возраста: Платформа не внедрила надежные механизмы, препятствующие созданию аккаунтов детьми младше 13 лет или доступу к ее сервисам.
- Недостаточные меры защиты конфиденциальности: Настройки по умолчанию и практики сбора данных не соответствовали высоким стандартам конфиденциальности, требуемым для данных детей.
- Отсутствие надлежащего согласия: Для пользователей младше 13 лет законодательно требуется согласие родителей, которое Reddit не получал на постоянной основе.
Последствия и реакция регулятора
Штраф ICO отражает серьезность нарушений и служит предупреждением другим платформам о последствиях несоблюдения законов о защите данных детей. Джон Эдвардс, уполномоченный по информации Великобритании, подчеркнул, что защита данных детей не является необязательной, заявив:
"Защита данных детей — это не опция, а юридическое требование. Организации должны серьезно относиться к своим обязанностям, иначе им грозят значительные штрафы."
Reddit не оспаривает наложенный штраф публично, но, по сообщениям, уже предпринял шаги по улучшению механизмов проверки возраста и мер защиты данных после расследования.
Рекомендации по соблюдению требований для организаций
Специалистам по кибербезопасности и защите данных следует обратить внимание на следующие моменты:
- Внедрить надежные механизмы проверки возраста: Использовать технические меры (например, возрастные ограничения, сторонние системы верификации) для предотвращения доступа несовершеннолетних к запрещенным сервисам.
- Обеспечить высокий уровень конфиденциальности по умолчанию: Настройки для детских аккаунтов должны минимизировать сбор данных и требовать явного согласия.
- Проверить соответствие Кодексу для детей: Привести практики в соответствие с 15 стандартами, изложенными в британском Age Appropriate Design Code, включая прозрачность и родительский контроль.
- Проводить регулярные аудиты: Проактивно оценивать процессы обработки данных для выявления и снижения рисков нарушения конфиденциальности несовершеннолетних.
Действия ICO подчеркивают растущее внимание к цифровым правам детей во всем мире и необходимость для организаций уделять первоочередное внимание соблюдению развивающихся норм в области защиты данных.