ICO Великобритании оштрафовало Reddit на £14,5 млн за незаконный сбор данных детей

Британское управление уполномоченного по информации (ICO) оштрафовало платформу Reddit на сумму £14,47 млн (около $19,5 млн) за незаконный сбор и обработку персональных данных детей младше 13 лет. Это решение подчеркивает неспособность платформы обеспечить достаточные меры защиты данных несовершеннолетних, что является нарушением Общего регламента по защите данных Великобритании (UK GDPR) и Кодекса для детей (Age Appropriate Design Code).

Основные выводы и нарушения

Расследование ICO выявило, что практики Reddit в период с 2016 по 2021 год не соответствовали требованиям законодательства о защите данных, особенно в части конфиденциальности детей. Согласно UK GDPR, организации обязаны обеспечивать законность, справедливость и прозрачность обработки персональных данных, особенно когда речь идет о данных несовершеннолетних. Кодекс для детей, введенный в 2020 году, дополнительно обязывает цифровые сервисы, которые могут использоваться детьми, учитывать их интересы, включая настройки конфиденциальности по умолчанию и минимизацию сбора данных.

Нарушения Reddit включали:

• Отсутствие проверки возраста: Платформа не внедрила надежные механизмы, препятствующие созданию аккаунтов детьми младше 13 лет или доступу к ее сервисам.
• Недостаточные меры защиты конфиденциальности: Настройки по умолчанию и практики сбора данных не соответствовали высоким стандартам конфиденциальности, требуемым для данных детей.
• Отсутствие надлежащего согласия: Для пользователей младше 13 лет законодательно требуется согласие родителей, которое Reddit не получал на постоянной основе.

Последствия и реакция регулятора

Штраф ICO отражает серьезность нарушений и служит предупреждением другим платформам о последствиях несоблюдения законов о защите данных детей. Джон Эдвардс, уполномоченный по информации Великобритании, подчеркнул, что защита данных детей не является необязательной, заявив:

"Защита данных детей — это не опция, а юридическое требование. Организации должны серьезно относиться к своим обязанностям, иначе им грозят значительные штрафы."

Reddit не оспаривает наложенный штраф публично, но, по сообщениям, уже предпринял шаги по улучшению механизмов проверки возраста и мер защиты данных после расследования.

Рекомендации по соблюдению требований для организаций

Специалистам по кибербезопасности и защите данных следует обратить внимание на следующие моменты:

• Внедрить надежные механизмы проверки возраста: Использовать технические меры (например, возрастные ограничения, сторонние системы верификации) для предотвращения доступа несовершеннолетних к запрещенным сервисам.
• Обеспечить высокий уровень конфиденциальности по умолчанию: Настройки для детских аккаунтов должны минимизировать сбор данных и требовать явного согласия.
• Проверить соответствие Кодексу для детей: Привести практики в соответствие с 15 стандартами, изложенными в британском Age Appropriate Design Code, включая прозрачность и родительский контроль.
• Проводить регулярные аудиты: Проактивно оценивать процессы обработки данных для выявления и снижения рисков нарушения конфиденциальности несовершеннолетних.

Действия ICO подчеркивают растущее внимание к цифровым правам детей во всем мире и необходимость для организаций уделять первоочередное внимание соблюдению развивающихся норм в области защиты данных.