Dwie regulacje chronią przede wszystkim dane Twojego dziecka: COPPA w USA i RODO w Europie. Obie istnieją, bo małe dzieci nie mogą skutecznie wyrazić zgody na śledzenie. Ale znajomość nazwy przepisu nie mówi, czy aplikacja w rękach dziecka jest naprawdę bezpieczna — oto, czego wymaga każda regulacja, i dwuminutowe sprawdzenie, które to rozstrzyga.
Dwa przepisy chroniące dane Twojego dziecka
COPPA — Stany Zjednoczone
Children's Online Privacy Protection Act (COPPA) dotyczy usług internetowych skierowanych do dzieci poniżej 13 lat lub świadomie zbierających ich dane. Zasada podstawowa: aplikacja musi uzyskać weryfikowalną zgodę rodzica, zanim zbierze dane osobowe dziecka. A „dane osobowe” to pojęcie szerokie: nie tylko imię i e-mail, lecz także trwałe identyfikatory śledzące dziecko między aplikacjami, dokładna lokalizacja oraz zdjęcia, wideo i nagrania dźwiękowe. COPPA egzekwuje amerykańska Federalna Komisja Handlu (FTC).
RODO — Unia Europejska i Wielka Brytania
Ogólne rozporządzenie o ochronie danych (RODO) uznaje, że dzieci zasługują na szczególną ochronę. W przypadku usługi internetowej oferowanej dziecku zgodę musi wyrazić lub zatwierdzić rodzic, dopóki dziecko jest poniżej wieku ustalonego przez dany kraj — domyślnie 16 lat, obniżanego nawet do 13 w niektórych państwach. W Wielkiej Brytanii Age Appropriate Design Code urzędu ICO idzie dalej i wymaga domyślnie wysokich ustawień prywatności oraz minimalizacji danych w usługach, z których mogą korzystać dzieci.
Czego wymagają przepisy — w skrócie
- Kogo chronią: COPPA dzieci poniżej 13 lat; RODO dzieci poniżej 13–16 lat, zależnie od kraju.
- Główny obowiązek: zgoda rodzica przed zebraniem danych oraz domyślnie wysokie ustawienia prywatności (brytyjski kodeks dziecięcy).
- Co liczy się jako dane: imię i kontakt, ale też identyfikatory śledzące, dokładna lokalizacja, zdjęcia i dźwięk.
- Kto egzekwuje: w USA FTC; w Europie krajowe organy ochrony danych.
- Najprostszy sposób na zgodność: nie zbierać niczego. Aplikacja bez zbierania danych nie potrzebuje zgody i nie ma nic do stracenia.
Haczyk: prawo to podłoga, nie sufit
Tego wielu rodziców nie zauważa: obie regulacje opierają się przede wszystkim na zgodzie. Aplikacja może więc zbierać — a nawet udostępniać — mnóstwo danych, o ile najpierw zapyta rodzica. W praktyce ta zgoda bywa ukryta w rejestracji, a niejedna „przyjazna dzieciom” aplikacja spełnia przepisy na papierze, a mimo to zawiera reklamowe SDK profilujące Twoje dziecko. Zgodność oznacza, że aplikacja przestrzegała zasad, a nie że niczego nie zbiera. I tę różnicę niemal zawsze opłaca się reklamą. Dlaczego to właśnie reklamy w rękach dziecka są prawdziwym problemem, wyjaśniamy na liście kontrolnej aplikacji bez reklam.
Dwuminutowe sprawdzenie prywatności
- Przeczytaj etykietę prywatności. W App Store w sekcji „Prywatność aplikacji”: „Nie są zbierane żadne dane” to najmocniejsza odpowiedź; „Dane powiązane z Tobą” oznaczają, że dane łączy się z tożsamością dziecka.
- Poszukaj polityki prywatności dla dzieci. Kto ją publikuje, pomyślał o obowiązkach COPPA i RODO.
- Zwróć uwagę na „Zawiera reklamy”. Aplikacje dla dzieci finansowane reklamami niemal zawsze udostępniają dane sieciom reklamowym.
- Sprawdź aplikację sam przez pięć minut. Uważaj na zakładanie konta, prośby o e-mail albo uprawnienia do lokalizacji, kontaktów czy mikrofonu — aplikacja do rysowania niczego z tego nie potrzebuje.
- Przetestuj kontrolę rodzicielską. Zakupy i linki powinny być za weryfikacją dorosłego, której małe dziecko nie przejdzie samo.
Złoty standard: „Nie są zbierane żadne dane”
Najczystszy sposób na bezpieczeństwo w świetle COPPA i RODO to zbudować aplikację, która nie ma powodu dotykać danych Twojego dziecka. Taki jest zamysł Kid Doodle: etykieta w App Store mówi „Nie są zbierane żadne dane”, nie ma kont, żadnych SDK analitycznych ani śledzących i żadnych reklam podmiotów trzecich — a aplikacja działa w 100% offline: po instalacji nic nie jest wysyłane, bo nie ma czego wysyłać. Nie ma ekranu zgody, bo nie ma na co się zgadzać. Opcjonalne zakupy kolorowanek są za kontrolą rodzicielską w Strefie Rodzica. Celowo nudna opowieść o prywatności — dokładnie to, czego chcesz dla dziecka.
Najczęstsze pytania
Czym jest COPPA i czy dotyczy aplikacji mojego dziecka?
COPPA to amerykańska ustawa o ochronie prywatności dzieci w internecie (Children's Online Privacy Protection Act). Dotyczy usług internetowych skierowanych do dzieci poniżej 13 lat (lub świadomie zbierających ich dane) i wymaga weryfikowalnej zgody rodzica przed zebraniem danych osobowych, w tym identyfikatorów śledzących, lokalizacji, zdjęć i dźwięku. Egzekwuje ją FTC.
Czy RODO chroni dzieci w UE?
Tak. RODO zapewnia dzieciom szczególną ochronę. W usłudze internetowej skierowanej do dziecka zgodę musi wyrazić lub zatwierdzić rodzic, dopóki dziecko jest poniżej wieku ustalonego przez dany kraj — domyślnie 16, w niektórych 13 lat. W Wielkiej Brytanii Age Appropriate Design Code dodaje domyślnie wysokie ustawienia prywatności i minimalizację danych.
Co oznacza etykieta „Nie są zbierane żadne dane” w App Store?
Oznacza, że według dewelopera aplikacja nie zbiera żadnych danych: żadnej analityki, identyfikatorów, kont ani śledzenia. Gdy nic nie jest zbierane, nie ma na co się zgadzać, czym się dzielić ani czego stracić — najbezpieczniejszy stan dla aplikacji dziecięcej. Etykieta Kid Doodle mówi „Nie są zbierane żadne dane”.