Детские приложения: 6 простых правил при запуске детского приложения

Сегодня разработка и запуск ни одного приложения не обходится без решения вопросов защиты персональных данных пользователей. Если речь идет о создании приложения для детей, то необходимость защиты персональных данных становится еще более актуальной. Такие приложения подвергаются строгим требованиям в области защиты персональных данных, что требует от разработчиков дополнительных ресурсов.

В нескольких статьях расскажем с коллегой, какие требования предъявляет законодательство о защите персональных данных к детским приложениям, конкретно GDPR (действующий в Европейском союзе) и COPPA (применяемый в США), а также, какие требования предъявляют к таким приложениям App Store и Google Play.

На кого распространяются требования о защите персональных данных детей?

В основном применяются к приложениям, веб-сайтам, платформам и сервисам, предназначенным для использования детьми. Однако они также распространяются на случаи, когда разработчик знает о том, что дети используют его сервис, даже если дети не составляют большинства пользователей. Это означает, что даже при наличии небольшой доли детей среди пользователей, необходимо соблюдать нормы по защите данных детей.

До какого возраста пользователь считается ребенком?

Конкретный возраст, до которого пользователь считается ребенком, может различаться в зависимости от применимого законодательства. В США этот возраст составляет 13 лет, в то время как в ЕС – 16 лет.

Важно отметить: в составе ЕС каждое государство-член имеет право внести свои изменения в возраст, с которого лицо считается ребенком. Например, на Кипре этот возраст установлен на уровне 14 лет.

А теперь, собственно, к правилам и рекомендациям, которые разработчик мобильной игры должен учесть перед запуском приложения, ориентированного на детей.

Правило № 1. Проверьте текст своей Privacy Policy на предмет наличия в ней необходимой информации

Ключевой документ компании - Privacy Policy. Согласно COPPA, в Privacy Policy детского приложения обязательно должна содержаться следующая информация:

  1. перечень данных, которые вы обрабатываете о ребенке и почему вам необходимы эти данные,
  2. как эта информация собирается и зачем,
  3. все третьи стороны, которым вы передаете данные и для каких целей,
  4. инструкции для родителя, как он может получить доступ к данным ребенка, изменить их или удалить,
  5. инструкции по отзыву согласия родителя на обработку данных ребенка.

Правило № 2. Адаптируйте Privacy Policy так, чтобы ее понял ребенок

Цель требования заключается в том, чтобы донести до детей информацию о том, как их данные будут использоваться. Переведите сложные понятия на язык, понятный детям, чтобы было понятно даже самым маленьким пользователям.

Используйте наглядные графические элементы, иллюстрации, чтобы объяснить детям, какими данными они делятся. Например, через рисунки, показывающие персонажей, передающих информацию друг другу.

Правило №3. Получите верифицированное согласие родителя на обработку персональных данных ребенка

Среди всех требований, связанных с защитой персональных данных детей, на практике наиболее сложным является получение согласия родителя на обработку информации о его ребенке.

Согласно COPPA, это согласие родителя должно быть верифицированным. В то время как метод получения согласия остается на усмотрение разработчика, COPPA подчеркивает важность разумного подхода к выбору такого метода, учитывая доступные технологии, чтобы обеспечить уверенность в том, что лицо, предоставляющее согласие, действительно является родителем ребенка.

Американский регулятор выделил несколько приемлемых методов получения такого согласия:

  • подписать форму согласия и отправить ее обратно по факсу, почте или в электронном виде;
  • использовать кредитную карту, дебетовую карту или другую систему онлайн-платежей, которая обеспечивает уведомление владельца счета о каждой отдельной операции;
  • позвонить по бесплатному номеру, на котором работает обученный персонал;
  • ответить на ряд сложных вопросов, основанных на знаниях, на которые трудно ответить кому-либо, кроме взрослого и др.

GDPR также требует получения согласия родителя на обработку персональных данных ребенка, но не требует, чтобы это согласие было верифицированным.

В то же время, большинство европейских приложений и веб-сайтов, ориентированных на детей, придерживаются принципов верифицированного согласия, аналогичных требованиям COPPA. Это показывает, что такие компании очень серьезно относятся к защите данных детей и предпринимают дополнительные шаги для этого.

Для определения необходимости получения согласия родителя, можно при запуске приложения запросить у пользователя его возраст. Если возраст составляет менее 13 лет (в США) или менее 16 лет (в ЕС), предоставить выбор одного из удобных для компании методов получения согласия родителя.

Правило №4. Предоставьте родителям выбор относительно передачи данных ребенка

COPPA требует, чтобы у родителей была возможность выбрать, будут ли передаваться персональные данные его ребенка третьим лицам. И даже если их родители отказываются передавать личную информацию третьим лицам, мобильное приложение по-прежнему должно предоставлять свой функционал этому ребенку.

Для реализации этого требования можно предоставить функционал, который позволит родителям принять решение о передаче данных, нажимая кнопки «Да» или «Нет».

Важно, чтобы даже в случае отказа от передачи данных, ребенок сохранял доступ ко всем функциям приложения.

Правило №5. Предоставьте родителям специфические права относительно данных ребенка (возможность доступа, изменения, удаления персональных данных, а также отзыва согласия на обработку)

Цель этого требования - дать родителям реальное влияние на управление персональными данными своих детей и предоставить им инструкции о том, как осуществить этот контроль. Если функционал приложения предполагает совместное использование родителями и детьми, наиболее простым решением будет включение настроек управления в «профиль родителя».

Однако, более сложной задачей является настройка реализации этих прав, когда приложение используется только детьми. В этом случае после получения согласия можно отправить инструкции по реализации прав на электронный адрес родителя.

Правило №6. Обеспечьте безопасность персональных данных ребенка

Это правило относится не только к данным о детях, но и ко всем персональным данным. Тем не менее, уровень защиты для данных детей должен быть особенно высоким: информация о ребенке должна храниться минимальное время, а также должны быть предприняты меры для обеспечения технической защиты данных.


Вышеупомянутые меры – это основные аспекты, которые применяются к каждому детскому приложению без исключения, но далеко не все требования, касающиеся персональных данных детей.

В следующей статье расскажем о требованиях, которые предъявляются самыми популярными площадками.

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera

Читайте по теме

статьи

Запрещённый контент в AppStore

Запрещённый контент в AppStore аналитические материалы

Требования, предъявляемые к мобильным играм на китайском рынке

Требования, предъявляемые к мобильным играм на китайском рынке статьи

META оштрафована за нарушение норм GDPR на рекордные 1,2 млрд. евро: почему это произошло и чего ждать контролерам?

META оштрафована за нарушение норм GDPR на рекордные 1,2 млрд. евро: почему это произошло и чего ждать контролерам?