Problematyka zgody dziecka na przetwarzanie danych osobowych jest jedną z najbardziej kontrowersyjnych i dyskutowanych kwestii na gruncie GDPR. Poniższa analiza ma za zadanie wyjaśnienie znaczenia regulacji art. 8 GDPR. Przedstawiona zostanie treść art. 8 GDPR w porównaniu z projektem regulacji z 2012 r. Istotną kwestią jest także zwrócenie uwagi, iż art. 8 GDPR dotyczy wyłącznie zgody dziecka na przetwarzanie danych osobowych, a nie innej przesłanki legalizującej przetwarzanie danych w ramach umów o świadczenie usług on-line (np. usługi konta na portalu społecznościowym).

Przetwarzanie danych osobowych dziecka – projekt GDPR z 2012 r.

Do celów niniejszego rozporządzenia, w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku,  przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem,  o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka.

W kontekście powyższego należy zwrócić uwagę, iż projekt GDPR z 2012 r.:

  • przewidywał jedną granicę wieku dziecka bez kompetencji państw członkowskich do modyfikowania tego progu;
  • nie precyzował podstawy legalizującej przetwarzanie danych osobowych (np. zgoda, realizacja umowy, etc.).

Regulacja GDPR

Art. 8

  1. Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.
  2. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
  3. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Ustawodawca unijny sprecyzował, iż wyznaczona granica wieku dziecka dotyczy wyłącznie sytuacji, gdy dane osobowe przetwarzane są na podstawie zgody podmiotu danych (doprecyzowano w ten sposób kryterium skuteczności zgody dziecka). Co istotne, art. 8 GDPR nie dotyczy innych podstaw przetwarzania danych osobowych. W szczególności nie dotyczy podstawy legalizującej przetwarzanie danych osobowych, o której mowa w art. 6 ust. 1 lit. b) GDPR (tj. zawarcie oraz realizacja umowy). Potwierdza to art. 8 ust. 3 GDPR:

  1. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Kodeks cywilny o zgodzie dziecka

Powyższe oznacza, iż możliwość przetwarzania danych osobowych dzieci korzystających np. z serwisów społecznościowych na podstawie umowy o świadczenie usług drogą elektroniczną (zawieraną w oparciu o wzorzec umowny – regulamin), uzależniona jest od skutecznego zawarcia umowy. Natomiast kwestię te regulują przepisy kodeksu cywilnego (k.c.) w tym zdolności prawnej i zdolności do czynności prawnych określonych w kodeksie cywilnym. Przede wszystkim chodzi o:

Art. 17. Z zastrzeżeniem wyjątków w ustawie przewidzianych, do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego.

Art. 20. Osoba ograniczona w zdolności do czynności prawnych może bez zgody przedstawiciela ustawowego zawierać umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego.

Czego nie mogą robić państwa członkowskie

Przedstawiony powyżej art. 8 RODO nie przyznaje państwom członkowskim kompetencji m.in. do:

  • modyfikacji wieku w ramach innych (niż zgoda) podstaw przetwarzania danych dziecka (przykład regulacji Children’s Online Privacy Protection Rule „COPPA” w USA);
  • określania mechanizmu wyrażania lub aprobowania zgody dziecka (tj. w jakiej sytuacji przedstawiciel ustawowy może zgodę wyrazić samodzielnie, a w jakiej wyłącznie potwierdza czynność dziecka);
  • określania tego kto i w jakim trybie może zgodę wycofać;
  • regulacji problemu zgody poza obszarem usług społeczeństwa informacyjnego (np. zgoda na przesyłanie informacji marketingowych tradycyjną pocztą);
  • regulacji problemu zgody osoby ubezwłasnowolnionej.

Dziecko, które ukończyło 13 lat będzie samo wyrażać zgodę na przetwarzanie danych

Ustawodawca unijny dał jednocześnie – państwom członkowskim – możliwość obniżenia wieku dziecka, z tym, że dolna granica tego obniżenia wieku wynosi 13 lat. Przyjęcie takiej granicy wieku (zgodnie z projektem Ministerstwa Cyfryzacji) oznaczać będzie, iż zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku  będzie mogło wyrazić dziecko, które ukończyło 13 lat.

W tym miejscu należy zwrócić uwagę na treść art. 8 ust. 2 GDPR: „(…) administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”. Wskazany przepis dotyczy sytuacji, gdy dziecko nie może samodzielnie wyrazić zgody na przetwarzanie danych osobowych. W praktyce niezależnie od tego czy dziecko może samodzielnie wyrazić zgodę na przetwarzanie danych osobowych (w sytuacji wskazanej w art. 8 ust. 1 GDPR) czy nie, administrator danych będzie musiał wprowadzić mechanizm weryfikowania czy zgody udziela dziecko. Chodzi o mechanizmy zbliżone do obecnej kontroli dostępu do treści nieprzeznaczonych dla osób małoletnich (np. erotycznych).

Autor: Mirosław Gumularz

Dowiedz się więcej o GDPR na szkoleniach Omni Modo:

Related Post

UDOSTĘPNIJ
Poprzedni artykułObowiązek notyfikacyjny administratora wobec podmiotów, których dane dotyczą – analiza art. 34 GDPR
Następny artykułJak wielcy gracze przygotowują się do RODO? Cz.1.
Radca Prawny, doktorant na WPiA UJ. Absolwent wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego oraz Szkoły Prawa Amerykańskiego organizowanej przez The Catholic University of America, Columbus School of Law we współpracy z UJ. Ukończył studia podyplomowe „Prawo Dowodowe” na Wydziale Prawa i Administracji UJ – organizowane we współpracy z Instytutem Ekspertyz Sądowych w Krakowie oraz studia podyplomowe z Prawa Własności Intelektualnej organizowane przez Katedrę Własności Intelektualnej na Wydziale Prawa i Administracji UJ. Uzyskane dodatkowe kwalifikacje: samodzielny księgowy. Autor licznych tekstów z zakresu ochrony danych osobowych, prawa cywilnego, e-commerce a także regulacji konsumenckich. Specjalizuje się w prawie własności intelektualnej, konsumenckim, e-commerce oraz prawa technologii komunikacyjnych i informacyjnych.