Kaksi säädöstä suojaa ennen kaikkea lapsesi tietoja: COPPA Yhdysvalloissa ja GDPR Euroopassa. Molemmat ovat olemassa, koska pienet lapset eivät voi pätevästi suostua seurantaan. Mutta lain nimen tunteminen ei kerro, onko lapsen käsissä oleva sovellus todella turvallinen — tässä on, mitä kumpikin säädös vaatii, ja kahden minuutin tarkistus, joka antaa vastauksen.
Kaksi lakia, jotka suojaavat lapsesi tietoja
COPPA — Yhdysvallat
Children's Online Privacy Protection Act (COPPA) koskee verkkopalveluita, jotka on suunnattu alle 13-vuotiaille lapsille tai jotka tietoisesti keräävät heiltä tietoja. Ydinsääntö: sovelluksen on hankittava todennettava vanhemman suostumus ennen kuin se kerää lapsen henkilötietoja. Ja ”henkilötiedot” on laaja käsite: paitsi nimi ja sähköposti, myös pysyvät tunnisteet, jotka seuraavat lasta sovelluksesta toiseen, tarkka sijainti sekä valokuvat, videot ja äänitallenteet. COPPAa valvoo Yhdysvaltain kuluttajaviranomainen FTC.
GDPR — EU ja Iso-Britannia
Yleinen tietosuoja-asetus (GDPR) katsoo, että lapset ansaitsevat erityistä suojaa. Lapselle tarjottavassa verkkopalvelussa suostumuksen on antanut tai hyväksynyt vanhempi niin kauan kuin lapsi on kunkin maan määrittämän iän alapuolella — oletuksena 16 vuotta, joissakin maissa laskettu jopa 13 vuoteen. Isossa-Britanniassa valvojan ICO:n Age Appropriate Design Code menee vielä pidemmälle ja vaatii korkeat yksityisyysasetukset oletuksena sekä tietojen minimoinnin palveluissa, joita lapset voivat käyttää.
Mitä lait vaativat, lyhyesti
- Ketä ne suojaavat: COPPA alle 13-vuotiaita; GDPR alle 13–16-vuotiaita maasta riippuen.
- Ydinvaatimus: vanhemman suostumus ennen tietojen keräämistä sekä korkeat yksityisyysasetukset oletuksena (Britannian lapsikoodi).
- Mikä lasketaan tiedoksi: nimi ja yhteystiedot, mutta myös seurantatunnisteet, tarkka sijainti, valokuvat ja ääni.
- Kuka valvoo: Yhdysvalloissa FTC; Euroopassa kansalliset tietosuojaviranomaiset.
- Helpoin tapa noudattaa: älä kerää mitään. Sovellus, joka ei kerää tietoja, ei tarvitse suostumusta eikä sillä ole mitään menetettävää.
Mutta: laki on lattia, ei katto
Tämän moni vanhempi jättää huomaamatta: molemmat lait perustuvat ennen kaikkea suostumukseen. Sovellus saa siis kerätä — ja jopa jakaa — paljon tietoa, kunhan se kysyy ensin vanhemmalta. Käytännössä tuo suostumus on usein haudattu rekisteröitymiseen, ja monet ”lapsiystävälliset” sovellukset noudattavat sääntöjä paperilla mutta upottavat silti mainos-SDK:t, jotka profiloivat lastasi. Sääntöjen noudattaminen tarkoittaa, että sovellus toimi oikein — ei sitä, ettei se kerää mitään. Ja tuo ero maksetaan lähes aina mainoksilla. Miksi juuri mainokset lapsen käsissä ovat todellinen ongelma, kerromme mainoksettomien sovellusten tarkistuslistassa.
Kahden minuutin tietosuojatarkistus
- Lue tietosuojamerkintä. App Storessa kohdassa ”Sovelluksen tietosuoja”: ”Tietoja ei kerätä” on vahvin vastaus; ”Sinuun linkitetyt tiedot” tarkoittaa, että tiedot yhdistetään lapsesi henkilöllisyyteen.
- Etsi lasten tietosuojaseloste. Sen julkaissut on miettinyt COPPAn ja GDPR:n velvoitteita.
- Tarkista ”Sisältää mainoksia”. Mainosrahoitteiset lasten sovellukset jakavat lähes aina tietoja mainosverkostoille.
- Kokeile sovellusta itse viisi minuuttia. Varo tilin luontia, sähköpostipyyntöjä tai lupia sijaintiin, yhteystietoihin tai mikrofoniin — piirustussovellus ei tarvitse mitään näistä.
- Testaa lapsilukko. Ostojen ja linkkien on oltava aikuisen vahvistuksen takana, jota pieni lapsi ei ohita yksin.
Kultainen standardi: ”Tietoja ei kerätä”
Puhtain tapa olla turvassa COPPAn ja GDPR:n suhteen on rakentaa sovellus, jolla ei ole mitään syytä koskea lapsesi tietoihin. Tämä on Kid Doodlen lähtökohta: App Store -merkintä sanoo ”Tietoja ei kerätä”, ei ole tilejä, ei analytiikka- tai seuranta-SDK:ita eikä kolmansien osapuolten mainoksia — ja sovellus toimii 100-prosenttisesti offline-tilassa: asennuksen jälkeen mitään ei lähetetä, koska lähetettävää ei ole. Suostumusnäyttöä ei ole, koska mihinkään ei tarvitse suostua. Valinnaiset värityskirjaostot ovat lapsilukon takana Vanhempien alueella. Tarkoituksella tylsä tietosuojatarina — juuri sitä lapselle halutaan.
Usein kysytyt kysymykset
Mikä COPPA on ja koskeeko se lapseni sovelluksia?
COPPA on Yhdysvaltain laki lasten yksityisyyden suojasta verkossa (Children's Online Privacy Protection Act). Se koskee alle 13-vuotiaille suunnattuja verkkopalveluita (tai jotka tietoisesti keräävät heiltä tietoja) ja edellyttää todennettavaa vanhemman suostumusta ennen henkilötietojen keräämistä, mukaan lukien seurantatunnisteet, sijainti, valokuvat ja ääni. Sitä valvoo FTC.
Suojaako GDPR lapsia EU:ssa?
Kyllä. GDPR antaa lapsille erityistä suojaa. Lapselle suunnatussa verkkopalvelussa suostumuksen on antanut tai hyväksynyt vanhempi niin kauan kuin lapsi on kunkin maan määrittämän iän alapuolella — oletuksena 16, joissakin maissa 13. Isossa-Britanniassa Age Appropriate Design Code lisää korkeat yksityisyysasetukset oletuksena ja tietojen minimoinnin.
Mitä App Storen merkintä ”Tietoja ei kerätä” tarkoittaa?
Se tarkoittaa, että kehittäjän mukaan sovellus ei kerää mitään tietoja: ei analytiikkaa, tunnisteita, tilejä eikä seurantaa. Kun mitään ei kerätä, ei ole mitään, mihin suostua, mitä jakaa tai menettää — turvallisin tila lasten sovellukselle. Kid Doodlen merkintä sanoo ”Tietoja ei kerätä”.