Het vastmaken van de auto is een voorzorgsmaatregel die ouders nemen om zichzelf en hun kinderen te beschermen. Als het gaat om de Children’s Online Privacy Protection Act, helpt het volgen van de COPPA Road-regels uw bedrijf en de kinderen die uw website bezoeken of uw online service gebruiken, te beschermen. De meeste bedrijven zijn bekend met het mandaat van de COPPA om vooraf toestemming van de ouders te verkrijgen voordat persoonlijke gegevens van kinderen onder de 13 jaar worden verzameld. Maar verderop in de COPPA-weg is er nog een vereiste waar sommige bedrijven zich misschien niet van bewust zijn.
Zoals de FTC Nalevingsplan in zes stappen voor uw bedrijf leg uit of u onder de dekking valt Verordening inzake de bescherming van de online privacy van kinderenu moet ouders het recht geven om informatie over hun kinderen in te zien en te verwijderen. Maar wist u dat COPPA onder bepaalde omstandigheden ook vereist dat u de persoonlijke gegevens van uw kinderen verwijdert, zelfs als de ouders u daar niet om vragen?
Neem het voorbeeld van een abonnementsapp die kinderen onder de 13 jaar een verscheidenheid aan games en leermiddelen biedt. Wat gebeurt er als een ouder aan het einde van de abonnementsperiode besluit de dienst niet te verlengen? Kan het bedrijf de persoonlijke gegevens van het kind gewoon bewaren als er geen verwijderingsverzoek van de vader of moeder is gedaan?
Het antwoord is duidelijk: nee, het bedrijf kan het niet onderhouden. Onder Sectie 312.10 van COPPA mogen we de persoonlijke gegevens van kinderen bewaren ‘slechts zo lang als redelijkerwijs nodig is om het doel te bereiken waarvoor de gegevens zijn verzameld’. Vervolgens moet u het verwijderen door redelijke stappen te ondernemen om ervoor te zorgen dat het veilig is vernietigd.
Met dit in gedachten is het tijd om uw beleid voor het bewaren van gegevens de laatste tijd te herzien. Wat doet u met de gegevens van het kind als een ouder een account sluit, een abonnement niet verlengt of toestaat dat een account inactief wordt? Zijn deze gegevens nog nodig voor bijvoorbeeld de eindafrekening? Zo ja, voor hoe lang?
Hier volgen enkele vragen die uw bedrijf kunnen helpen te voldoen aan de COPPA-vereisten voor het bewaren en verwijderen van gegevens:
- Welke soorten persoonlijke informatie verzamelt u van kinderen?
- Wat is het aangegeven doel voor het verzamelen van de informatie?
- Hoe lang moet de informatie worden bewaard om het doel te bereiken waarvoor deze in eerste instantie is verzameld? Heeft u bijvoorbeeld de informatie die een jaar geleden is verzameld nog nodig?
- Eindigt het doel van het gebruik van informatie bij het verwijderen van een account, uitschrijven of inactiviteit van het account?
- Wanneer het tijd is om informatie te verwijderen, doet u dat dan veilig?
De FTC heeft dat gedaan bronnen om uw bedrijf te helpen de COPPA-compliance te vereenvoudigen.
