Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o tej zgodzie prawi, nie odnosząc się do ogólnych zasad i warunków wyrażania zgody, m.in. uregulowanych w art. 7 RODO.
RODO odnosi się w sposób szczególny do ochrony dzieci, którym bezpośrednio świadczy się usługi społeczeństwa informacyjnego uważając je za mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Szczególną ochroną otacza dzieci w sytuacjach, gdy wykorzystywane mają być ich dane osobowe do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.
Należy zapamiętać, że sytuacja dziecka podlega szczególnemu reżimowi, gdy chodzi o kwestie świadczenia usług społeczeństwa informacyjnego kierowanych bezpośrednio do dziecka i gdzie zgoda jest konieczna (np. nie zachodzi przesłanka przetwarzania danych na podstawie umowy, regulaminu usług). Kwalifikacji, czy usługi są kierowane bezpośrednio dziecku, należy dokonywać ad hoc. Podając przykład, w doktrynie prawniczej wskazuje się, że gdy na stronie internetowej podaje się informację, że usługi są kierowane do osób, które ukończyły 18 lat i przestrzega się tych zasad, to uznaje się, że usługi nie są kierowane do dzieci.
Usługi społeczeństwa informacyjnego, to nic innego, jak każda usługa normalnie świadczona za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. „Na odległość” oznacza to, że usługa świadczona jest bez równoczesnej obecności stron. „Świadczenie usługi drogą elektroniczną” oznacza z kolei, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych. Do tej kategorii nie zalicza się usług o charakterze materialnym, nawet jeśli świadczone są z wykorzystaniem urządzeń elektronicznych, np. dystrybucja banknotów i biletów przez automaty. Świadczenie „na indywidualne żądanie” oznacza natomiast, że przesyłanie danych następuje na żądanie odbiorcy usług. Do tych usług nie należą usługi świadczone w formie przesyłania danych bez indywidualnego zamówienia i przeznaczone do równoczesnego odbioru przez nieograniczoną liczbę odbiorców.
A teraz po polsku: będą to np. gry online, czy słuchanie muzyki w aplikacji na telefon.
Przejdźmy do meritum; zgodnie z RODO osoba, która ukończyła 16 lat może samodzielnie wyrazić skuteczną zgodę na przetwarzanie danych osobowych. Przetwarzanie danych osobowych dziecka poniżej 16 lat, możliwe jest wyłącznie po uzyskaniu zgody wyrażonej przez rodzica lub opiekuna prawnego, lub po otrzymaniu od nich potwierdzenia zgody wyrażonej przez dziecko. Administrator zobowiązany jest – uwzględniając dostępną technologię – podejmować rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała, np. poprzez zobowiązanie przelew 1 grosza na konto podmiotu żądającego przedmiotowego potwierdzenia. Obowiązek weryfikacji dotyczy także wieku dziecka. Mechanizm weryfikacji dobiera się w zależności od określonego ryzyka związanego z przetwarzaniem, nie naruszając zasady minimalizacji danych, czasem wystarczy żądanie podania daty urodzenia, czy zaznaczenia opcji potwierdzającej ukończenie określonego wieku. Zaś czasem można zastosować inne środki – wszystko w zależności od wyniku oceny ryzyka związanego z przetwarzaniem.
Każde państwo członkowskie miało możliwość obniżenia dolnej granicy wieku do maksymalnie 13 lat. Początkowo, w projektach nowej ustawy o ochronie danych osobowych, polski ustawodawca chciał skorzystać z przysługującego mu prawa i obniżyć wiek do 13 lat, powołując się na potrzebę ujednolicenia przepisów prawa polskiego z zakresu dwóch reżimów prawnych – prawa ochrony danych osobowych i prawa cywilnego. Zgodnie z tym ostatnim, osoba, która kończy 13 lat ma prawo do zawierania umów w drobnych bieżących sprawach życia codziennego i rozporządzać swoim zarobkiem. Ograniczona zdolność do czynności prawnych oznacza, iż małoletni może składać oświadczenia woli, z tym, że pewnych sytuacjach do ich skuteczności wymagana jest zgoda przedstawiciela ustawowego. Ostatecznie, z przyjętego projektu ustawy zapis ten został wykreślony. Brak regulacji na poziomie krajowym skutkuje stosowaniem zapisów RODO, co oznacza, że granica wieku w przedmiotowym przypadku w Polsce wynosi 16 lat. Co to oznacza dla osób stosujących przepisy RODO? Konieczność odmiennego wniosku, co do skuteczności zachowania dziecka w przypadku, gdy jednocześnie jego zachowania oceniane jest z punktu widzenia prawa ochrony danych osobowych i kodeksu cywilnego. Czternastoletni Staś kupi komiks przez sklep internetowy, ale zgodę na przetwarzanie danych osobowych w celu wysyłki informacji handlowych o najnowszych komiksach i grach na tej samej stronie internetowej, będzie musiał wyrazić lub potwierdzić jego tato. Czas pokaże jak powyższe regulacje sprawdzą się w praktyce. A jeśli praktyka i wdrażanie RODO, to tylko z iSecure 🙂