Политика за поверителност на децата

Политиката за поверителност на децата определя задължителни изисквания за поверителност при обработване на лични данни, което включва деца, услуги, насочени към деца, услуги, до които е вероятно да имат достъп деца, и други дейности по обработване, при които личните данни на деца изискват засилени предпазни мерки. Тя се прилага в контекст на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, включително уебсайтове, приложения, игри, образователни услуги, онлайн платформи, свързани услуги, клиентски портали, учебни среди, общности и канали за поддръжка. Политиката е предназначена да гарантира, че личните данни на деца се идентифицират, управляват, минимизират, обясняват, защитават и доказват чрез предпазни мерки, подходящи за обработване, насочено към деца и достъпно за деца. Централна характеристика на политиката е използването на съществуващи доказателствени обекти на СУНЛИ вместо отделни регистри, специфични за деца. Политиката изисква статусът „насочен към деца“, вероятността за достъп от деца, целите, категориите лични данни, категориите субекти на данни, получателите и референциите към сроковете за съхранение да се отразяват в REG02. Проверките на риска за поверителността и решенията за DPIA се насочват чрез REG04. Съгласието, разрешението от носител на родителска отговорност, маршрутизирането на оттеглянето и референциите към потвърждението за съгласие се записват в REG05, когато е приложимо. Исканията за упражняване на права, включващи деца, се управляват чрез REG06, версиите на уведомленията, подходящи за деца — чрез REG07, ограниченията за обработващи лични данни и споделяне на данни — чрез REG08, доказателствата за инциденти — чрез REG10, а записите от одит, коригиращи действия и подобрения — чрез REG12. Политиката предоставя подробни оперативни изисквания за прозрачност, подходяща за деца, съгласие, родителска отговорност, минимизиране, съхранение, участие при упражняване на права, поверителност още при проектиране и контрол на разкриването. Преди събирането на лични данни на деца собствениците на процеси или собствениците на бизнеса трябва да потвърдят, че всяка категория лични данни е необходима за документираната цел, и трябва да определят минималните данни за оценка на възрастта, които са необходими. Услугите, насочени към деца, трябва да прилагат настройки по подразбиране, защитаващи поверителността, за незадължително събиране, видимост, споделяне, персонализация и комуникации. Когато личните данни на деца включват специални категории, силно чувствителна информация, данни за местоположение, биометрични, поведенчески, комуникационни, образователни, здравни данни или информация, свързана с безопасността, се изисква преглед от длъжностно лице по защита на данните или съветник по поверителността, който се записва в REG04. Политиката разглежда и сценарии с по-висок риск, като профилиране, поведенчески анализ, персонализация със значителни последици, автоматизирани решения, препоръчващи функции, предполагаема злоупотреба, вредно разкриване, неоторизиран достъп, експлоатация, риск, свързан с груминг, и други рискове за личните данни, свързани с безопасността, които включват деца. Тези въпроси се насочват чрез процесите за преглед на поверителността, обработване на инциденти или коригиращи действия, като се използват REG04, REG10 и REG12 според приложимото. За доставчици, обработващи лични данни, подизпълнители по обработване и получатели при споделяне на данни, собственикът по доставчици/набавяне трябва да потвърди документирани ограничения, свързани с деца, нареждания, поверителност, очаквания за връщане или изтриване и задължения за съдействие в REG08, преди да бъде разрешено обработването на лични данни на деца. Управлението и надзорът се определят чрез тримесечни прегледи на доказателствата, проверки за готовност при стартиране, годишни одити, обработка на изключения, прилагане и годишен преглед на политиката. Ръководителят по поверителността/мениджърът на СУНЛИ координира пълнотата на доказателствата и ескалацията в съответните записи, докато висшето ръководство одобрява подхода за контрол на поверителността на децата и преглежда системни несъответствия. Политиката поддържа отчетност с готовност за одит, като изисква показатели за мониторинг на дейностите по обработване, насочени към деца, проверки за необходимост от DPIA, открити въпроси по уведомления или съгласие, проблеми с обработващи лични данни и споделяне, повтарящи се несъответствия и ефективност на коригиращите действия, като всички се записват в REG12 с изходни доказателства от приложимите регистри.