ICO reddit штраф за GDPR ставить перевірки віку та захист даних дітей під новий пильний контроль

Регулятори знову розпалили дискусію щодо приватності, безпеки дітей в Інтернеті та штрафу Reddit за GDPR після того, як британський наглядовий орган наклав штраф на платформу через дані неповнолітніх до 13 років.

ICO наклав штраф на Reddit за дані дітей та перевірки віку

Британська Управління з питань інформації (ICO) винесло Reddit штраф у розмірі 14,47 мільйонів фунтів стерлінгів (19,6 мільйонів доларів США) за нібито порушення GDPR, пов’язані з дітьми, у рішення, оголошеному 24 лютого 2026 року. Однак захисники приватності попереджають, що підхід до застосування законодавства може підірвати анонімність та безпеку користувачів у всіх онлайн-платформах.

Регулятор заявив, що штраф Reddit базувався на двох основних недоліках. По-перше, Reddit не мав «надійних» заходів для підтвердження віку, що позбавляло його законної підстави обробляти персональні дані користувачів молодше 13 років. По-друге, він не провів формальну оцінку впливу на захист даних (DPIA), щоб виявити та зменшити ризики для дітей на платформі до січня 2025 року.

Згідно з ICO, сума штрафу враховувала кілька факторів. Це включало велику кількість дітей, що користуються сайтом, потенційний шкоду, яку вони могли зазнати, тривалість недоліків і глобальний оборот Reddit. Крім того, слідчі підкреслили характер контенту, до якого могли мати доступ діти.

Регулятор: Reddit не забезпечив захист молодших користувачів

Джон Едвардс, уповноважений з питань інформації, заявив, що особисту інформацію дітей до 13 років збирали та використовували у спосіб, який вони не могли повністю зрозуміти або контролювати. Це потенційно поставило їх під ризик доступу до контенту, що був неприйнятним для їх вікової групи, наголосив він у різкій заяві.

«Діти до 13 років мали свою особисту інформацію зібрану та використану у спосіб, який вони не могли зрозуміти, погодитися або контролювати. Це потенційно поставило їх під ризик перегляду контенту, який їм не слід було бачити. Це неприпустимо і призвело до сьогоднішнього штрафу», — сказав Едвардс. Він підкреслив, що компанії повинні з самого початку проектувати сервіси з урахуванням дітей.

Едвардс додав, що онлайн-сервіси, які ймовірно залучають дітей, мають чітку відповідальність захищати їх. Для цього вони повинні з обґрунтованою впевненістю знати, скільки років їхні користувачі, і застосовувати відповідні, ефективні заходи для підтвердження віку. Він не вказав конкретну технологію, зосереджуючись на результатах і зменшенні ризиків.

Відповідь Reddit та заперечення щодо приватності

Reddit відреагував, стверджуючи, що його довгострокові дизайнерські рішення пріоритетно ставили анонімність та безпеку користувачів. У заяві компанія зазначила, що «не вимагала від користувачів ділитися інформацією про свою особистість, незалежно від віку, оскільки ми глибоко прихильні до їхньої приватності та безпеки». Однак вона не заперечувала, що діти мали доступ до платформи.

Платформа ввела вікові обмеження для доступу до «зрілого контенту» у липні 2025 року і почала запитувати нових користувачів про їхній вік під час створення облікового запису. ICO визнав ці зміни, але зазначив, що самостійне декларування віку є занадто легким для обходу і не відповідає стандартам GDPR щодо обробки даних з високим ризиком, зокрема для неповнолітніх.

Спеціалісти з приватності підтримали позицію Reddit, стверджуючи, що більш жорсткі перевірки можуть посилити побоювання щодо підтвердження віку. Вони попередили, що імітація нав’язливих вимог до ідентифікації, які застосовують на деяких сайтах для дорослих, може збільшити поверхню для атак кіберзлочинців і послабити загальний захист приватності.

Фахівці попереджають про ризики приватності при підтвердженні віку

Павел Бішофф, захисник приватності споживачів у Comparitech, висловив сподівання, що Reddit протистоятиме тиску щодо впровадження жорстких ідентифікаційних перевірок. Він вважає, що обов’язкова верифікація перекладає тягар доведення на користувачів, яких не підозрюють у wrongdoing, що піднімає питання широких громадянських свобод.

«Проблема з обов’язковою ідентифікацією полягає в тому, що вона несправедливо перекладає тягар доведення на більшість людей, які не підозрюються у будь-яких правопорушеннях», — попередив Бішофф. Крім того, він зазначив, що немає достатніх переконливих доказів того, що такі схеми забезпечують заявлену безпеку, особливо у масштабі.

Він додав, що примусові перевірки можуть мати стримуючий ефект на свободу вираження та асоціації. На його думку, батьки повинні брати на себе більше відповідальності за контроль онлайн-активності дітей, а не перекладати цю функцію на приватні компанії, уряди або широку громадськість.

Пітер Арнц, старший дослідник Malwarebytes, також застеріг, що технології визначення віку мають значні ризики. Зокрема, він підкреслив системи, що базуються на біометричному аналізі, фінансових даних або централізованих реєстрах ідентичності, оскільки кожен з цих варіантів відкриває нові вектори зловживань, спостереження або витоку даних.

Арнц навів приклади таких технологій, як оцінка віку за обличчям із використанням біометрії, перевірки через відкритий банкінг із запитами фінансової інформації, цифрові гаманці для ідентифікації та порівняння фотографій із ID. Навіть прості механізми, такі як перевірка кредитної картки, інференція через електронну пошту або мобільний зв’язок, можуть викликати побоювання щодо виключення, профілювання та надійності.

Модель подвійного сліпого тестування як можливий компроміс

Щоб поєднати приватність підтвердження віку із захистом дітей, Арнц запропонував модель «подвійного сліпого» підтвердження, яка є більш приватною. У цій моделі довірена третя сторона підтверджує, чи відповідає користувач віковому порогу, наприклад 18+, і видає анонімізований токен для сайту-отримувача.

За цією схемою сайт отримує лише простий індикатор, наприклад «18+», без розкриття повної ідентичності користувача або конкретної служби підтвердження. Це може зменшити обсяг оброблюваних даних, обмежити відстеження між сервісами і уникнути створення великих «мішків меду» з чутливими особистими даними, що приваблює зловмисників.

Згідно з Арнцом, такі архітектури можуть забезпечити кращий захист приватності, ніж багато сучасних схем, при цьому виконуючи регуляторні вимоги. Однак вони потребують ретельного технічного проектування, чіткої управлінської політики та надійного контролю, щоб справді обмежити збір даних і не створювати нові ризики через інтеграцію з бекенд-системами.

Виклики відповідності та уроки штрафу GDPR для індустрії

Штраф GDPR для Reddit також підкреслює ширші зобов’язання щодо захисту даних дітей для будь-яких онлайн-сервісів, що використовуються неповнолітніми, незалежно від їхньої цільової аудиторії. Провали у стратегії та управлінні DPIA і перевірками віку, ймовірно, привернуть більше уваги регуляторів у міру посилення контролю.

Кріс Ліннелл, заступник директора з приватності даних у Bridewell, зазначив, що при обробці даних дітей проведення DPIA є обов’язковим. Це статутний обов’язок, спрямований на оцінку, документування та зменшення ризиків до того, як шкода станеся, особливо при профілюванні або цільовому контенті.

Ліннелл вважає, що відсутність надійної DPIA свідчить про те, що ризики для дітей не були належним чином ідентифіковані або враховані з самого початку. Крім того, він зазначив, що покладанняся лише на умови та положення, що забороняють неповнолітнім користуватися сервісом, не є ефективним захистом без технічних заходів.

«Якщо не впроваджено ефективних технічних або операційних заходів для забезпечення цього правила, організація не може переконливо стверджувати, що вона вжила розумних заходів для запобігання доступу», — сказав він. «Відповідність не може базуватися лише на договірних положеннях; вона має відображатися у практичних заходах безпеки». Його коментарі свідчать, що політики на папері не будуть достатніми у майбутніх регуляторних заходах.

Останні регуляторні заходи та рекомендації для онлайн-платформ

Рішення щодо штрафу Reddit слідує за іншим випадком у Великій Британії, пов’язаним із даними дітей. За кілька тижнів до цього MediaLab, материнська компанія платформи Imgur, отримала штраф понад 247 000 фунтів за невідповідність закону про використання даних дітей. Разом ці випадки показують, що ICO посилює контроль за тим, як соціальні та контент-платформи ставляться до молодих користувачів.

Ліннелл закликав постачальників онлайн-сервісів діяти вже зараз, щоб уникнути подібних наслідків. По-перше, вони мають визначити, де діти ймовірно отримують доступ до їхніх сервісів, навіть якщо ці користувачі не є їхньою цільовою аудиторією. По-друге, вони повинні проводити DPIA для обробки високого ризику та регулярно переглядати й оновлювати ці оцінки.

Він також порадив компаніям встановлювати та документувати чітку законну підставу для обробки даних дітей і впроваджувати пропорційні, ефективні заходи, а не покладатися лише на політики. Однак ці заходи мають бути збалансовані з принципами приватності за дизайном, щоб уникнути надмірного збору даних, що може створити нові ризики.

Перспективи для платформ, що прагнуть поєднати безпеку, приватність і відповідність

Дія регуляторів проти Reddit сигналізує про посилення контролю за захистом даних і дітей у 2026 році та надалі. Платформи, що залежать від контенту, створеного користувачами, зіштовхнуться з дедалі більшою увагою щодо поєднання безпеки, приватності та юридичних обов’язків, зберігаючи при цьому життєздатні бізнес-моделі та довіру спільноти.

На практиці це означає створення віково-усвідомленого дизайну, проведення значущих DPIA та дослідження моделей підтвердження приватності, а не автоматичне застосування загальних ідентифікаційних перевірок. У міру того, як регулятори та індустрія тестують ці підходи, результат дискусії щодо відповідності GDPR Reddit, ймовірно, сформує глобальні стандарти захисту неповнолітніх онлайн.

Загалом, випадок Reddit слугує високопрофільним попередженням, що захист даних дітей переходить від рекомендацій до застосування, змушуючи платформи посилювати заходи безпеки та одночасно захищати приватність користувачів.