Hiszpański organ nadzoru (Agencia Española de Protección de Datos-AEPD) wydał niedawno interesującą decyzję, w której nałożył karę w wysokości 5 000 euro na 16-latka za przetwarzanie danych osobowych osoby nieletniej bez podstawy prawnej.
Szantaż 13-latki
W tej sprawie 16-latek (administrator) został skazany przez sąd dla nieletnich za szantażowanie 13 latki, aby wysyłała mu intymne zdjęcia. Oboje poznali się przez Internet na Instagramie i zawiązali tam bliską relację. 13-latka wysłała administratorowi (16-latkowi) intymne zdjęcia i wideo, ale po pewnym czasie 16-latek zażądał dalszych zdjęć i zaczął szantażować dziewczynę, że wrzuci wcześniejsze zdjęcia do sieci społecznościowych. Cała sprawa zakończyła się wyrokiem wydanym przez sąd dla nieletnich. Ojciec dziewczyny zaskarżył administratora do AEPD, wskazał, że 16-latek przetwarzał dane osobowe córki bez podstawy prawnej.
Postępowanie skargowe
Pełnomocnik administratora w odpowiedzi na zarzuty, wskazał, że jego klient nie może otrzymać grzywny w tym postępowaniu administracyjnym, gdyż zgodnie z zasadą non bis in idem nie można zostać ukaranym dwa razy za ten sam czyn (ta zasada zawarta jest w hiszpańskiej konstytucji). Jednak jak wykazał AEPD, aby czyn został uznany za ten sam, muszą istnieć podobieństwa pomiędzy przedmiotem, faktami i dobrem chronionym. W niniejszej sprawie istniało jedynie podobieństwo dotyczące przedmiotu czynu. Co do korelacji faktów stwierdził, że postępowanie karne dla nieletnich zostało wszczęte i zakończone z powodu naruszenia art. 169 ust. 1 kodeksu karnego hiszpańskiego (groźba wobec osoby, której dane dotyczą). Natomiast podstępowanie skargowe zostało wszczęte z powodu naruszenia art. 6 ust. 1 lit. a RODO (niezgodne z prawem przetwarzanie danych osobowych osoby, której dane dotyczą i nieważność zgody). Odnosząc się do dobra chronionego, organ stwierdził, że w postępowaniu karnym dla nieletnich chronionym dobrem prawnym jest prawo do wolności wyboru, natomiast w niniejszym postępowaniu administracyjnym jest to prawo do ochrony danych osobowych. W związku z tym organ mógł rozpocząć postępowanie wobec administratora.
Po drugie, organ ochrony danych wskazał, że samo gromadzenie, rejestrowanie i przechowywanie wykonanych przez administratora zdjęć i filmów 13-latki, wystarczy, aby uznać je za przetwarzanie danych osobowych na podstawie art. 4 pkt. 2 RODO, a tym samym w tej sprawie znajduje zastosowanie RODO.
Podstawa prawna
Następną kwestia, jaką zajął się organ nadzoru, było określenie czy w danej sprawie przetwarzanie opierało się na jakiejś podstawie prawnej. W tej sprawie jedyną możliwą podstawą przetwarzania mogła być zgoda, jednakże, jako że 13-latka była nieletnia, nie mogła wyrazić zgody. Zgodnie z art. 7 hiszpańskiej ustawy o ochronie danych osobowych, zgoda może być ważna jedynie kiedy dany nieletni ukończył 14 lat, w przeciwnym razie zgoda rodzica lub opiekuna prawnego jest wymagana. W związku z tym przetwarzanie danych w tej sprawie nie mogło się opierać na art. 6 ust. a RODO.
Wysokość kary
Organ nadzoru nakładając administracyjną karę pieniężną w wysokości 5 000 euro na administratora, podkreślił umyślny charakter naruszenia i wysokość szkody dla osoby, której dane dotyczą. Jednocześnie organ nakazał usuniecie wszelkich danych osobowych 13-latki oraz zwrócił się do administratora o poinformowanie o środkach podjętych w tym celu.
Nieletni w Internecie
Jak widać nieletni również mogą w pełni odpowiadać za naruszenia RODO. Hiszpański organ nadzoru wydał nawet specjalny poradnik informujący o ich odpowiedzialności za czyny w Internecie: https://www.aepd.es/es/documento/responsabilidad-menores-padres-madres.pdf. Należy również zwrócić uwagę, że zwłaszcza młode osoby są wyjątkowe narażone na takie incydenty jak wyżej opisane. Warto zatem uświadamiać własne dzieci o niebezpieczeństwach związanych z korzystaniem social mediów i o tym, że nie należy przesyłać własnych intymnych zdjęć w sieci , gdyż nigdy nie wiadomo do kogo mogą finalnie trafić i jak zostać wykorzystane
Źródło: https://www.aepd.es/es/documento/ps-00107-2022.pdf