GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Dzieci w sieci – zgoda dziecka w GDPR

Problematyka zgody dziecka na przetwarzanie danych osobowych jest jedną z najbardziej kontrowersyjnych i dyskutowanych kwestii na gruncie GDPR. Poniższa analiza ma za zadanie wyjaśnienie znaczenia regulacji art. 8 GDPR. Przedstawiona zostanie treść art. 8 GDPR w porównaniu z projektem regulacji z 2012 r. Istotną kwestią jest także zwrócenie uwagi, iż art. 8 GDPR dotyczy wyłącznie zgody dziecka na przetwarzanie danych osobowych, a nie innej przesłanki legalizującej przetwarzanie danych w ramach umów o świadczenie usług on-line (np. usługi konta na portalu społecznościowym).

Przetwarzanie danych osobowych dziecka – projekt GDPR z 2012 r.

Do celów niniejszego rozporządzenia, w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku,  przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem,  o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka.

W kontekście powyższego należy zwrócić uwagę, iż projekt GDPR z 2012 r.:

Regulacja GDPR

Art. 8

  1. Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.
  2. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
  3. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Ustawodawca unijny sprecyzował, iż wyznaczona granica wieku dziecka dotyczy wyłącznie sytuacji, gdy dane osobowe przetwarzane są na podstawie zgody podmiotu danych (doprecyzowano w ten sposób kryterium skuteczności zgody dziecka). Co istotne, art. 8 GDPR nie dotyczy innych podstaw przetwarzania danych osobowych. W szczególności nie dotyczy podstawy legalizującej przetwarzanie danych osobowych, o której mowa w art. 6 ust. 1 lit. b) GDPR (tj. zawarcie oraz realizacja umowy). Potwierdza to art. 8 ust. 3 GDPR:

  1. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

Kodeks cywilny o zgodzie dziecka

Powyższe oznacza, iż możliwość przetwarzania danych osobowych dzieci korzystających np. z serwisów społecznościowych na podstawie umowy o świadczenie usług drogą elektroniczną (zawieraną w oparciu o wzorzec umowny – regulamin), uzależniona jest od skutecznego zawarcia umowy. Natomiast kwestię te regulują przepisy kodeksu cywilnego (k.c.) w tym zdolności prawnej i zdolności do czynności prawnych określonych w kodeksie cywilnym. Przede wszystkim chodzi o:

Art. 17. Z zastrzeżeniem wyjątków w ustawie przewidzianych, do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego.

Art. 20. Osoba ograniczona w zdolności do czynności prawnych może bez zgody przedstawiciela ustawowego zawierać umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego.

Czego nie mogą robić państwa członkowskie

Przedstawiony powyżej art. 8 RODO nie przyznaje państwom członkowskim kompetencji m.in. do:

Dziecko, które ukończyło 13 lat będzie samo wyrażać zgodę na przetwarzanie danych

Ustawodawca unijny dał jednocześnie – państwom członkowskim – możliwość obniżenia wieku dziecka, z tym, że dolna granica tego obniżenia wieku wynosi 13 lat. Przyjęcie takiej granicy wieku (zgodnie z projektem Ministerstwa Cyfryzacji) oznaczać będzie, iż zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku  będzie mogło wyrazić dziecko, które ukończyło 13 lat.

W tym miejscu należy zwrócić uwagę na treść art. 8 ust. 2 GDPR: „(…) administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”. Wskazany przepis dotyczy sytuacji, gdy dziecko nie może samodzielnie wyrazić zgody na przetwarzanie danych osobowych. W praktyce niezależnie od tego czy dziecko może samodzielnie wyrazić zgodę na przetwarzanie danych osobowych (w sytuacji wskazanej w art. 8 ust. 1 GDPR) czy nie, administrator danych będzie musiał wprowadzić mechanizm weryfikowania czy zgody udziela dziecko. Chodzi o mechanizmy zbliżone do obecnej kontroli dostępu do treści nieprzeznaczonych dla osób małoletnich (np. erotycznych).

Dowiedz się więcej o GDPR na szkoleniach Omni Modo: