Ireland – Children Front and Centre: Fundamentals for a Child-Oriented Approach to Data Processing
On 17 December 2021, the Irish Data Protection Comission published a report setting out fundamental principles for the processing of children's personal data. The term "fundamental principles" is used to illustrate the critical nature of these standards. These principles apply both online and offline (where relevant) and address organisations whose services are "directed at, intended for or may be accessed by children." In Ireland, a child for the purposes of data protection is someone under the age of 18. The key message of these fundamental principles is that the best interests of the child should always be the first consideration in all decisions concerning the processing of their personal data.
Wat: Richtlijnen
Impactscore: 2
Voor wie: bedrijven met activiteiten gericht op kinderen, sectororganisaties, beleidsmakers
Samenvatting
De Ierse gegevensbeschermingsautoriteit heeft de volgende 14 grondbeginselen vastgesteld die organisaties moeten respecteren om de bescherming van kinderen bij de verwerking van hun persoonsgegevens te verbeteren:
Grond van bescherming
Organisaties kunnen kiezen: ofwel kunnen ze de vereisten van de grondbeginselen toepassen op alle diensten die ze aanbieden, ongeacht de leeftijd van hun gebruikers, zodat alle gebruikers profiteren van een hoog en uniform niveau van gegevensbescherming. Ofwel moeten ze een risicogebaseerde aanpak hanteren om de leeftijd van hun gebruikers te verifiëren, zodat zij ervoor kunnen zorgen dat zij dat zij de voorschriften van deze basisbeginselen toepassen op de verwerking van de persoonsgegevens.
Duidelijke toestemming
Wanneer een kind toestemming geeft om zijn gegevens te verwerken, moet die toestemming vrij, specifiek, op informatie berustend en ondubbelzinnig zijn, in de vorm van een duidelijke verklaring of een bevestigende handeling.
Geen inmenging
Organisaties die gegevens van kinderen verwerken moeten ervoor zorgen dat het nastreven van legitieme belangen niet in strijd is met, interfereert met, of op geen enkele manier een negatieve invloed heeft op de belangen van het kind.
Ken uw publiek
Organisaties moeten stappen ondernemen om hun gebruikers te identificeren en ervoor te zorgen dat diensten die gericht zijn aan/bedoeld zijn voor of waarschijnlijk toegankelijk zijn voor kinderen, gegevensbeschermingsmaatregelen bevatten die specifiek op kinderen gericht zijn.
In ieder geval recht op informatie
Kinderen hebben recht om informatie te krijgen over de verwerking van hun eigen persoonsgegevens, ongeacht de rechtsgrondslag en zelfs indien een ouder namens hen toestemming heeft gegeven voor de verwerking van hun persoonsgegevens.
Transparantie gericht op kinderen
Informatie over de manier waarop persoonsgegevens wordt gebruikt, moet op een beknopte, transparante, begrijpelijke en toegankelijke manier, in duidelijke en heldere taal die begrijpelijk en geschikt is voor de leeftijd van kinderen. Dit kan bijvoorbeeld door video’s, afbeeldingen, pictogrammen of gamificatie.
Laat kinderen aan het woord
Organisaties mogen niet vergeten dat kinderen volwaardige betrokkenen zijn en op elke leeftijd rechten hebben met betrekking tot hun persoonsgegevens. De gegevensbeschermingsautoriteit is van mening dat kinderen deze rechten kunnen uitoefenen, zolang zij daartoe in staat zijn en dit in hun belang is.
Toestemming verandert het kind zijn niet
Toestemming verkregen van kinderen of van de ouders mag niet worden gebruikt als rechtvaardiging om kinderen van alle leeftijden te behandelen alsof zij volwassenen zijn.
Jouw platform, jouw verantwoordelijkheid
Organisaties die inkomsten halen uit het aanbieden of verkopen van diensten via digitale en online-technologieën vormen bijzondere risico's voor de rechten en vrijheden van kinderen. Wanneer een dergelijk bedrijf gebruik maakt van leeftijdsverificatie en/of afhankelijk is van toestemming van de ouders voor de verwerking, zal de gegevensbeschermingsautoriteit verwachten van het bedrijf dat het extra moeite doet om te bewijzen dat genomen maatregelen inzake leeftijdsverificatie en controle van de toestemming van de ouders doeltreffend zijn.
Sluit kinderen niet uit of verminder hun ervaring niet
Als een dienst gericht is op, bedoeld is voor, of waarschijnlijk zal worden gebruikt door kinderen, kunnen verplichtingen niet omzeild worden door kinderen simpelweg uitte sluiten of ze te beroven van een goede gebruikerservaring.
Minimumleeftijden voor gebruikers zijn geen excuus
Theoretische leeftijdsgrenzen voor toegang tot diensten doen geen afbreuk aan de verplichting voor organisaties om te voldoen aan de verplichtingen van de voor de verwerkingsverantwoordelijke krachtens de AVG en de normen en verwachtingen in deze Grondbeginselen met betrekking tot "minderjarige" gebruikers.
Een voorzichtige aanpak voor profilering
Organisaties zouden geen profielen van kinderen mogen opstellen en/of gebruik maken van geautomatiseerde besluitvorming met betrekking tot kinderen, of anderszins hun persoonsgegevens gebruiken, voor marketing-/ reclamedoeleinden. Dit moet worden vermeden omwille van hun bijzondere kwetsbaarheid en vatbaarheid voor gedragsgerichte reclame, tenzij organisaties duidelijk kunnen aantonen hoe en waarom het in het belang van het kind is om dit te doen.
Voer een Gegevensbeschermingseffectbeoordeling uit
Organisaties voeren best een gegevensbeschermingseffectbeoordeling (GEB) uit om de gegevensbeschermingsrisico's van hun diensten tot een minimum te beperken, en in het bijzonder de specifieke risico's voor kinderen. Het beginsel van het belang van het kind moet centraal staan zijn in elke GEB en moet prevaleren boven de commerciële belangen van een organisatie in geval van een conflict tussen de twee belangen.
Bouw het in
Organisaties die regelmatig persoonsgegevens van kinderen verwerken moeten standaard een consequent hoog niveau van gegevensbescherming hebben dat in hun diensten is "ingebouwd”.