W poprzednich artykułach przybliżyliśmy Państwu czym według RODO jest prawo do bycia zapomnianym oraz prawo do przenoszalności danych. Dziś opisujemy kolejną nowość, którą zostanie wprowadzona w maju 2018 dzięki RODO.
W dobie Internetu dzieci są często nieświadome ryzyka i konsekwencji związanych z przetwarzaniem danych osobowych jakie podają korzystając z sieci. Dzieci, które korzystają chociażby z portali społecznościowych, są często narażone na wykorzystanie swoich danych bez ich świadomej zgody, np. w celach marketingowych. Kierując się potrzebą większej ochrony osób małoletnich, RODO reguluje szczególną formę zgody dziecka w stosunku do usług społeczeństwa informacyjnego. Za taką usługę uważa się każdą odpłatną usługę świadczoną na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Przykładem usługi społeczeństwa informacyjnego jest np. sprzedaż towarów za pośrednictwem strony internetowej (e-sklepy).
Zgoda dziecka na przetwarzanie danych
Zgodnie z art. 8 ust. 1 RODO, jeżeli zastosowanie ma zgoda na przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, gdy nie ukończyło ono 16 lat (w Polsce prawdopodobnie 13 lat), takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.
Bardzo wyraźnie należy podkreślić, że RODO w odniesieniu do dolnej granicy wieku zapewnia elastyczność i państwa członkowskie mogą ustanowić inny wiek. W Polsce prawdopodobnie wiek ten zostanie ustalony na 13 lat. Nowa ustawa o ochronie danych osobowych jest jeszcze w przygotowaniu, więc nie można na tę chwilę stwierdzić jednoznacznie, że ta zaproponowana w projekcie ustawy dolna granica wieku zostanie przyjęta przez Rząd. Wnioskować można po wypowiedziach płynących z resortu, że prawdopodobnie tak właśnie się stanie. Także podsumowując, jeśli polskie dziecko ukończyło 13-y rok życia będzie mogło samo wyrazić zgodę na przetwarzanie danych.
Dane przetwarzane tylko na podstawie zgody
Wielu administratorów mylnie identyfikuje obowiązek odbierania zgody rodzica zawsze, gdy usługa świadczona jest w sieci. Ma on jednak zastosowanie tylko w ograniczonym zakresie tam, gdzie podstawą przetwarzania danych jest zgoda, a nie np. umowa. W ogromnej ilości przypadków podstawą korzystania z usługi jest akceptacja regulaminu świadczenia usług drogą elektroniczną, np. przy zakładaniu kont na portalach społecznościowych bądź zakładaniu konta e-mail. W takich przypadkach zgoda rodzica na przekazanie danych osobowych z punktu widzenia RODO nie jest wymagana, jednak wymagana może okazać się zgoda rodzica na zawarcie umowy zgodnie z przepisami prawa cywilnego – nie mająca jednak nic wspólnego ze zmianami wynikającymi z RODO. Trzeba odróżniać wyrażenie zgody na przekazanie danych osobowych od wyrażenia zgody na zawarcie umowy.
Uzyskanie zgody rodzica lub opiekuna
Zgodnie z art. 8 ust. 2 RODO administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Administrator może w tym celu na przykład wprowadzić zasadę uwierzytelniania przez inne konto, która pozwoli dziecku przesłać prośbę o zgodę do sprawdzonego konta rodzica na tym samym portalu. Możliwe jest również np. zbieranie pisemnego oświadczenia (wysyłanego w formie skanu) czy też wysyłanie na adres poczty elektronicznej opiekuna (wskazany przez dziecko) linku aktywacyjnego. Decyzję o wyborze odpowiedniego mechanizmu uzyskiwania zgody (lub jej aprobaty) pozostawiono w gestii administratora.
Weryfikacja wieku użytkownika
Każdy administrator musi indywidualnie ocenić, który mechanizm będzie w rzeczywisty, ale jednocześnie rozsądny sposób weryfikował wiek posiadacza danych. Pytanie o wiek należałoby ocenić jako niosące za sobą stosunkowo wysokie ryzyko podawania przez dzieci nieprawdziwych informacji. Wskazanie pełnej daty urodzenia wydaje się bardziej rozsądne, lecz również nie daje 100 % pewności prawidłowości.
W późniejszym czasie (po rozpoczęciu stosowania RODO), w ramach kształtowania się orzecznictwa i stanowisk Urzędu Ochrony Danych Osobowych (dzisiejszy GIODO), z pewnością pojawią się wskazówki i wytyczne w tym względzie.
Co więcej, w celu uzyskania „świadomej” zgody od dziecka, administrator powinien wyjaśnić w jaki sposób i w jakim celu ma zamiar przetwarzać zgromadzone dane, przy użyciu języka, który jest jasny i zrozumiały dla dzieci.
Jeśli chcesz dowiedzieć się na czym będzie polegał obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych po wejściu w życie RODO zapraszamy do lektury naszego kolejnego artykułu.
