Ierland – Grondbeginselen voor een kindgerichte benadering van gegevensverwerking
Op 17 december 2021 publiceerde de Ierse gegevensbeschermingsautoriteit (Data Protection Commission) een rapport met grondbeginselen voor de verwerking van persoonsgegevens van kinderen. De term “grondbeginselen” wordt gebruikt om de fundamentele aard van deze normen te illustreren. Deze beginselen zijn zowel online als offline (waar relevant) van toepassing en richten zich tot organisaties waarvan de diensten "gericht zijn op, bedoeld zijn voor of toegankelijk kunnen zijn voor kinderen." In Ierland is een kind (voor gegevensbeschermingsdoeleinden) iemand onder de leeftijd van 18. De kernboodschap van deze grondbeginselen is dat het belang van het kind altijd de eerste overweging moet zijn bij alle beslissingen betreffende de verwerking van hun persoonsgegevens.
Wat: Richtlijnen
Impactscore: 2
Voor wie: Bedrijven met activiteiten gericht op kinderen, sectororganisaties, beleidsmakers
Samenvatting
De Ierse gegevensbeschermingsautoriteit heeft de volgende 14 grondbeginselen vastgesteld die organisaties moeten respecteren om de bescherming van kinderen bij de verwerking van hun persoonsgegevens te verbeteren:
1. Grond van bescherming
Organisaties kunnen kiezen: ofwel kunnen ze de vereisten van de grondbeginselen toepassen op alle diensten die ze aanbieden, ongeacht de leeftijd van hun gebruikers, zodat alle gebruikers profiteren van een hoog en uniform niveau van gegevensbescherming. Ofwel moeten ze een risicogebaseerde aanpak hanteren om de leeftijd van hun gebruikers te verifiëren, zodat zij ervoor kunnen zorgen dat zij dat zij de voorschriften van deze basisbeginselen toepassen op de verwerking van de persoonsgegevens.
2. Duidelijke toestemming
Wanneer een kind toestemming geeft om zijn gegevens te verwerken, moet die toestemming vrij, specifiek, op informatie berustend en ondubbelzinnig zijn, in de vorm van een duidelijke verklaring of een bevestigende handeling.
3. Geen inmenging
Organisaties die gegevens van kinderen verwerken moeten ervoor zorgen dat het nastreven van legitieme belangen niet in strijd is met, interfereert met, of op geen enkele manier een negatieve invloed heeft op de belangen van het kind.
4. Ken uw publiek
Organisaties moeten stappen ondernemen om hun gebruikers te identificeren en ervoor te zorgen dat diensten die gericht zijn aan/bedoeld zijn voor of waarschijnlijk toegankelijk zijn voor kinderen, gegevensbeschermingsmaatregelen bevatten die specifiek op kinderen gericht zijn.
5. In ieder geval recht op informatie
Kinderen hebben recht om informatie te krijgen over de verwerking van hun eigen persoonsgegevens, ongeacht de rechtsgrondslag en zelfs indien een ouder namens hen toestemming heeft gegeven voor de verwerking van hun persoonsgegevens.
6. Transparantie gericht op kinderen
Informatie over de manier waarop persoonsgegevens wordt gebruikt, moet op een beknopte, transparante, begrijpelijke en toegankelijke manier, in duidelijke en heldere taal die begrijpelijk en geschikt is voor de leeftijd van kinderen. Dit kan bijvoorbeeld door video’s, afbeeldingen, pictogrammen of gamificatie.
7. Laat kinderen aan het woord
Organisaties mogen niet vergeten dat kinderen volwaardige betrokkenen zijn en op elke leeftijd rechten hebben met betrekking tot hun persoonsgegevens. De gegevensbeschermingsautoriteit is van mening dat kinderen deze rechten kunnen uitoefenen, zolang zij daartoe in staat zijn en dit in hun belang is.
8. Toestemming verandert het kind zijn niet
Toestemming verkregen van kinderen of van de ouders mag niet worden gebruikt als rechtvaardiging om kinderen van alle leeftijden te behandelen alsof zij volwassenen zijn.
9. Jouw platform, jouw verantwoordelijkheid
Organisaties die inkomsten halen uit het aanbieden of verkopen van diensten via digitale en online-technologieën vormen bijzondere risico's voor de rechten en vrijheden van kinderen. Wanneer een dergelijk bedrijf gebruik maakt van leeftijdsverificatie en/of afhankelijk is van toestemming van de ouders voor de verwerking, zal de gegevensbeschermingsautoriteit verwachten van het bedrijf dat het extra moeite doet om te bewijzen dat genomen maatregelen inzake leeftijdsverificatie en controle van de toestemming van de ouders doeltreffend zijn.
10. Sluit kinderen niet uit of verminder hun ervaring niet
Als een dienst gericht is op, bedoeld is voor, of waarschijnlijk zal worden gebruikt door kinderen, kunnen verplichtingen niet omzeild worden door kinderen simpelweg uitte sluiten of ze te beroven van een goede gebruikerservaring.
11. Minimumleeftijden voor gebruikers zijn geen excuus
De Ierse gegevensbeschermingsautoriteit merkt op dat veel populaire online-dienstverleners een minimumleeftijd van 13 jaar hanteren. Dergelijke theoretische leeftijdsgrens doet echter geen afbreuk aan de verplichting voor organisaties om te voldoen aan de verplichtingen met betrekking tot "minderjarige" gebruikers uit de AVG en deze grondbeginselen. Organisaties moeten ofwel waarborgen voorzien die voorkomen dat niemand onder de vastgestelde leeftijd toegang krijgt tot de dienst, of zij moeten passende gegevensbeschermingsmaatregelen treffen om de persoonsgegevens van kinderen te beschermen zowel onder als boven de officiële leeftijdsgrens voor gebruikers.
12. Een voorzichtige aanpak voor profilering
Organisaties zouden geen profielen van kinderen mogen opstellen en/of gebruik maken van geautomatiseerde besluitvorming met betrekking tot kinderen, of anderszins hun persoonsgegevens gebruiken, voor marketing-/ reclamedoeleinden. Dit moet worden vermeden omwille van hun bijzondere kwetsbaarheid en vatbaarheid voor gedragsgerichte reclame, tenzij organisaties duidelijk kunnen aantonen hoe en waarom het in het belang van het kind is om dit te doen.
13. Voer een Gegevensbeschermingseffectbeoordeling uit
Organisaties voeren best een gegevensbeschermingseffectbeoordeling (GEB) uit om de gegevensbeschermingsrisico's van hun diensten tot een minimum te beperken, en in het bijzonder de specifieke risico's voor kinderen. Het beginsel van het belang van het kind moet centraal staan zijn in elke GEB en moet prevaleren boven de commerciële belangen van een organisatie in geval van een conflict tussen de twee belangen.
14. Bouw het in
Organisaties die regelmatig persoonsgegevens van kinderen verwerken moeten standaard een consequent hoog niveau van gegevensbescherming hebben dat in hun diensten is "ingebouwd”.