iSecure logo
Blog

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o tej zgodzie prawi, nie odnosząc się do ogólnych zasad i warunków wyrażania zgody, m.in. uregulowanych w art. 7 RODO.

RODO odnosi się w sposób szczególny do ochrony dzieci, którym bezpośrednio świadczy się usługi społeczeństwa informacyjnego uważając je za mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Szczególną ochroną otacza dzieci w sytuacjach, gdy wykorzystywane mają być ich dane osobowe do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.

Należy zapamiętać, że sytuacja dziecka podlega szczególnemu reżimowi, gdy chodzi o kwestie świadczenia usług społeczeństwa informacyjnego kierowanych bezpośrednio do dziecka i gdzie zgoda jest konieczna (np. nie zachodzi przesłanka przetwarzania danych na podstawie umowy, regulaminu usług). Kwalifikacji, czy usługi są kierowane bezpośrednio dziecku, należy dokonywać ad hoc. Podając przykład, w doktrynie prawniczej wskazuje się, że gdy na stronie internetowej podaje się informację, że usługi są kierowane do osób, które ukończyły 18 lat i przestrzega się tych zasad, to uznaje się, że usługi nie są kierowane do dzieci.

Usługi społeczeństwa informacyjnego, to nic innego, jak każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. „Na odległość” oznacza to, że usługa świadczona jest bez równoczesnej obecności stron. „Świadczenie usługi drogą elektroniczną” oznacza z kolei, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych. Do tej kategorii nie zalicza się usług o charakterze materialnym, nawet jeśli świadczone są z wykorzystaniem urządzeń elektronicznych, np. dystrybucja banknotów i biletów przez automaty. Świadczenie „na indywidualne żądanie” oznacza natomiast, że przesyłanie danych następuje na żądanie odbiorcy usług. Do tych usług nie należą usługi świadczone w formie przesyłania danych bez indywidualnego zamówienia i przeznaczone do równoczesnego odbioru przez nieograniczoną liczbę odbiorców.

A teraz po polsku: będą to np. gry online, czy słuchanie muzyki w aplikacji na telefon.

Przejdźmy do meritum; zgodnie z RODO osoba, która ukończyła 16 lat może samodzielnie wyrazić skuteczną zgodę na przetwarzanie danych osobowych. Przetwarzanie danych osobowych dziecka poniżej 16 lat, możliwe jest wyłącznie po uzyskaniu zgody wyrażonej przez rodzica lub opiekuna prawnego, lub po otrzymaniu od nich potwierdzenia zgody wyrażonej przez dziecko. Administrator zobowiązany jest – uwzględniając dostępną technologię – podejmować rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała, np. poprzez zobowiązanie przelew 1 grosza na konto podmiotu żądającego przedmiotowego potwierdzenia. Obowiązek weryfikacji dotyczy także wieku dziecka. Mechanizm weryfikacji dobiera się w zależności od określonego ryzyka związanego z przetwarzaniem, nie naruszając zasady minimalizacji danych, czasem wystarczy żądanie podania daty urodzenia, czy zaznaczenia opcji potwierdzającej ukończenie określonego wieku. Zaś czasem można zastosować inne środki – wszystko w zależności od wyniku oceny ryzyka związanego z przetwarzaniem.

Każde państwo członkowskie miało możliwość obniżenia dolnej granicy wieku do maksymalnie 13 lat. Początkowo, w projektach nowej ustawy o ochronie danych osobowych, polski ustawodawca chciał skorzystać z przysługującego mu prawa i obniżyć wiek do 13 lat, powołując się na potrzebę ujednolicenia przepisów prawa polskiego z zakresu dwóch reżimów prawnych – prawa ochrony danych osobowych i prawa cywilnego. Zgodnie z tym ostatnim, osoba, która kończy 13 lat ma prawo do zawierania umów w drobnych bieżących sprawach życia codziennego i rozporządzać swoim zarobkiem. Ograniczona zdolność do czynności prawnych oznacza, iż małoletni może składać oświadczenia woli, z tym, że pewnych sytuacjach do ich skuteczności wymagana jest zgoda przedstawiciela ustawowego. Ostatecznie, z przyjętego projektu ustawy zapis ten został wykreślony. Brak regulacji na poziomie krajowym skutkuje stosowaniem zapisów RODO, co oznacza, że granica wieku w przedmiotowym przypadku w Polsce wynosi 16 lat. Co to oznacza dla osób stosujących przepisy RODO? Konieczność odmiennego wniosku, co do skuteczności zachowania dziecka w przypadku, gdy jednocześnie jego zachowania oceniane jest z punktu widzenia prawa ochrony danych osobowych i kodeksu cywilnego. Czternastoletni Staś kupi komiks przez sklep internetowy, ale zgodę na przetwarzanie danych osobowych w celu wysyłki informacji handlowych o najnowszych komiksach i grach na tej samej stronie internetowej, będzie musiał wyrazić lub potwierdzić jego tato. Czas pokaże jak powyższe regulacje sprawdzą się w praktyce. A jeśli praktyka i wdrażanie RODO, to tylko z iSecure 🙂

Podobne wpisy:

Audyt zgodności z RODO

Jak przygotować audyt RODO?

Zanim przejdę do sedna tematu, najpierw – tytułem przypomnienia i wstępu – chciałbym przypomnieć naszym Czytelnikom jak definiowany jest audyt. Będzie to dobry punkt wyjścia do dalszych rozważań będących przedmiotem niniejszego wpisu. Cytując zatem normę ISO 27000, audyt jest to systematyczny, niezależny i dokumentowany proces uzyskiwania dowodu oraz jego obiektywnej oceny w celu określenia stopnia […]

Przydatne aplikacje

When does the processor become a controller?

Can the processor also act as a controller in the course of a personal data processing entrustment agreement? Can the processor, after termination of the entrustment agreement, become the controller of personal data which it previously processed only on behalf of another entity? Answers to these questions are important for determining the duties and potential […]

Jak budować zaufanie klientów poprzez transparentność w zakresie ochrony danych osobowych?

Ochrona danych to nie tylko kwestia zgodności z przepisami, ale także fundament budowania zaufania i lojalności wśród klientów. W miarę jak konsumenci stają się coraz bardziej świadomi swoich praw do prywatności, organizacje muszą zdawać sobie sprawę, że skuteczna ochrona danych osobowych jest kluczowa dla zachowania wiarygodności marki i utrzymywania trwałych relacji z klientami. Transparentna komunikacja […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki