Czy Twoja firma przestrzega Children’s Code? Nowy raport ICO ujawnia, że wiele nie spełnia wymogów 2025 roku
Z początkiem 2025 roku brytyjski urząd ochrony danych osobowych, Information Commissioner\’s Office (ICO), opublikował raport, który powinien zwrócić uwagę każdego, kto tworzy lub prowadzi usługi cyfrowe dostępne dla dzieci. Mowa oczywiście o Children’s Code – czyli zestawie obowiązków prawnych i praktycznych, które mają zapewnić dzieciom bezpieczne środowisko w sieci.
Jeśli Twoja firma oferuje aplikację, grę, platformę edukacyjną, serwis społecznościowy czy po prostu stronę internetową, z której mogą korzystać dzieci poniżej 18. roku życia – musisz znać ten kodeks i stosować się do jego zasad. Nie chodzi wyłącznie o zgodność z prawem. Chodzi o odpowiedzialność – i o to, jak Twoja marka zostanie odebrana przez rodziców, regulatora i opinię publiczną.
Children’s Code – czyli kogo to dotyczy i dlaczego?
Zdecydowanie tak. Kodeks ma zastosowanie również do instytucji edukacyjnych działających na rynku brytyjskim – niezależnie od tego, czy są to szkoły społeczne, placówki językowe, firmy oferujące korepetycje online, platformy e-learningowe czy polskie szkoły sobotnie. Jeśli dziecko korzysta z Twojej platformy lub zapisuje się przez formularz online – musisz zapewnić, że interfejs, zbieranie zgód i przetwarzanie danych są zgodne z Children’s Code.
W praktyce oznacza to konieczność:
- aktualizacji polityk prywatności,
- zastosowania języka dostosowanego do wieku,
- unikania zbędnego zbierania danych,
- oraz oceny ryzyka związanego z udostępnianiem danych dzieci firmom trzecim (np. hosting, newsletter, Zoom, itp.).
Dla polskich instytucji edukacyjnych w UK Children’s Code to nie tylko obowiązek – to też szansa, by pokazać, że traktują bezpieczeństwo dzieci na serio.
Co wynika z raportu ICO z 2025 roku?
ICO nie owija w bawełnę: wiele firm nie traktuje Children’s Code poważnie. Raport wskazuje na częste przypadki niedostosowania ustawień prywatności, nadużywania zgód marketingowych czy stosowania tzw. dark patterns – czyli interfejsów zaprojektowanych tak, by dziecko nieświadomie udzielało zgody na więcej, niż powinno.
Najważniejsze rekomendacje ICO to:
- Ustawienia prywatności powinny być domyślnie możliwie najbardziej restrykcyjne.
- Nie wolno profilować dzieci w celach marketingowych – nawet jeśli klikną „zgadzam się”.
- Komunikaty powinny być zrozumiałe i uczciwe – bez prawniczego żargonu.
- Dane dzieci należy zbierać tylko wtedy, gdy to absolutnie konieczne – i przechowywać je jak najkrócej.
ICO apeluje także o wprowadzanie corocznych audytów zgodności – szczególnie w firmach, które zlecają przetwarzanie danych stronom trzecim.
A co z wiekiem dziecka i jego zdolnością do wyrażenia zgody?
W Wielkiej Brytanii granicą wiekową, od której dziecko może samodzielnie wyrazić zgodę na przetwarzanie danych, jest 13 lat. Nie oznacza to jednak, że możemy wtedy zrezygnować z zasad Children’s Code. Dzieci w wieku 13–15 lat nadal wymagają szczególnego podejścia – nie tylko prawnego, ale i edukacyjnego. Interfejsy powinny wspierać ich zrozumienie, a usługi nie powinny ich w żaden sposób wykorzystywać.
Raport ICO dzieli dzieci na pięć głównych grup wiekowych – i sugeruje dostosowanie języka, interfejsu i zakresu ochrony do poziomu rozwoju:
- dzieci 0–5 lat wymagają pełnej ochrony i nie powinny korzystać samodzielnie z usług online,
- dzieci 6–9 lat potrzebują uproszczonych komunikatów,
- dzieci 10–12 lat rozwijają samodzielność, ale nadal muszą być prowadzone,
- dzieci 13–15 lat mogą wyrażać zgodę, ale nadal wymagają ochrony,
- młodzież 16–17 lat jest coraz bardziej samodzielna, ale nadal objęta kodeksem.
Na co jeszcze zwraca uwagę ICO?
Nowością raportu jest silna krytyka wobec technik manipulacyjnych, czyli tzw. dark patterns. To projektowanie interfejsów w taki sposób, by dziecko łatwo kliknęło „zgadzam się”, bo trudno znaleźć przycisk „odmów”. Albo przekazanie komunikatu w stylu „jeśli nie klikniesz, nie pograsz z kolegami”. Takie praktyki są nie tylko nieetyczne, ale będą również podstawą do interwencji regulatora.
Szczególna uwaga została poświęcona grom i aplikacjom edukacyjnym. ICO oczekuje jasnego oddzielenia funkcji edukacyjnych od marketingowych i dokładnego wskazania, które dane są niezbędne, a które opcjonalne.
Pojawia się też ważny głos dotyczący dobrostanu psychicznego dzieci. Mechanizmy uzależniające, natrętne powiadomienia, presja wyników czy społeczna rywalizacja – to wszystko powinno być ograniczane na etapie projektowania usługi.
Wreszcie – ICO sugeruje testowanie interfejsów z udziałem dzieci. Nie wystarczy „intuicja projektanta”. Trzeba realnie sprawdzić, czy dziecko rozumie, co się z jego danymi dzieje.
Jakie błędy popełniają firmy najczęściej?
Na podstawie raportu można wskazać trzy kluczowe niedopatrzenia:
- Domyślne ustawienia sprzyjające zbieraniu danych.
- Ukryte lub wymuszone zgody.
- Brak weryfikacji wieku użytkownika.
Dzieci są online. Czas, by prawo za nimi nadążyło. Ale to od nas, twórców usług cyfrowych, zależy, czy będą tam bezpieczne.
Jeśli Twoja usługa może być używana przez dzieci:
- Sprawdź, czy Twoja polityka prywatności jest zrozumiała dla 9-latka.
- Oceń, czy zbierasz tylko te dane, które naprawdę są potrzebne.
- Zastanów się, czy sposób działania Twojej aplikacji wspiera rozwój i dobro dziecka.
Możesz też skorzystać z pomocy ekspertów. W LEGISTRA LTD przeprowadzamy pełne audyty zgodności z Children’s Code, projektujemy nowe polityki i pomagamy wdrażać realne zabezpieczenia – z myślą o dzieciach i w zgodzie z prawem.
Skontaktuj się z nami i zadbaj o zgodność z Children’s Code – zanim zrobi to ICO.