RODO w praktyce: Zbieranie zgody od dzieci

RODO wprowadza istotną zmianę w zakresie warunków wyrażania zgody na przetwarzanie danych osobowych przez dzieci. Unijny prawodawca dostrzegł potrzebę dostosowania zasad przetwarzania danych dzieci do aktualnej sytuacji społecznej i technologicznej. Obecnie dzieci stanowią bardzo dużą część użytkowników internetu i dlatego też należy wprowadzić szczególne warunki, które będą chroniły ich dane.

Pod pojęciem usług społeczeństwa informacyjnego należy rozumieć usługi świadczone elektronicznie na odległość, za wynagrodzeniem, które zostały indywidualnie zamówione przez odbiorcę. Przykładami takich usług są: sprzedaż towarów przez sklep internetowy, platforma gier online, serwis umożliwiający oglądanie filmów na żądanie czy aplikacja do słuchania muzyki.

RODO ogranicza stosowanie wskazanego przepisu jedynie do usług oferowanych bezpośrednio dziecku, a więc jeżeli administrator wyjaśnia potencjalnym użytkownikom, że jego usługa świadczona jest wyłącznie osobom pełnoletnim, a treść strony internetowej temu nie zaprzecza, wówczas art. 8 nie będzie miał zastosowania.

Jak wskazuje rozporządzenie, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat i wyraziło zgodę na to przetwarzanie. Natomiast przetwarzanie danych osobowych dziecka poniżej 16. roku życia wymaga uzyskania zgody jego rodzica lub opiekuna prawnego. Państwa członkowskie mają możliwość obniżenia dolnej granicy wieku do maksymalnie 13 lat. Początkowo polski ustawodawca zakładał takie obniżenie wieku, argumentując to potrzebą ujednolicenia przepisów wewnętrznych – zgodnie bowiem z Kodeksem cywilnym małoletni, który ukończył 13 lat, może zawierać umowy w bieżących sprawach życia codziennego. Ostatecznie jednak zrezygnowano z tej modyfikacji, w związku z czym właściwe w tym zakresie będą przepisy RODO.

Administratorzy przetwarzający dane osobowe osób nieletnich muszą mieć świadomość ciążącej na nich odpowiedzialności. W ramach każdej usługi społeczeństwa informacyjnego skierowanej bezpośrednio do dziecka konieczna będzie weryfikacja wieku użytkownika. Chodzi o mechanizmy zbliżone do obecnej kontroli dostępu do treści przeznaczonych wyłącznie dla osób pełnoletnich (np. erotycznych). Dostawca świadczonej usługi będzie zobowiązany podjąć rozsądne starania, by zweryfikować, czy użytkownik spełnia wymóg dotyczący wieku, a jeśli nie, to czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

RODO nie podaje konkretnych wytycznych, w jaki sposób weryfikować zgodność z prawem wyrażonej zgody dziecka. Najpopularniejszą metodą weryfikacji oraz uzyskania zgody od rodziców lub potwierdzenia zgody wyrażonej przez dziecko jest korespondencja mailowa z rodzicami bądź opiekunami prawnymi. Zgoda osoby sprawującej władzę rodzicielską będzie ważna jedynie do momentu uzyskania przez dziecko 16. roku życia. W tym momencie po stronie administratora powstanie obowiązek uzyskania nowej zgody od osoby, której dane dotyczą.

Co istotne, zweryfikowanie zgody dziecka i uzyskanie aprobaty rodziców nie będzie potrzebne w sytuacji, gdy świadczone są usługi doradcze skierowane do dzieci i młodzieży. Mowa tu m.in o organizacjach społecznych, które za pośrednictwem internetu dzielą się wiedzą, lub udzielają wsparcia w kwestiach dotyczących przemocy czy edukacji seksualnej.

Należy pamiętać, że na gruncie RODO uzyskanie zgody od rodzica w celu przetwarzania danych osobowych dziecka konieczne będzie wyłącznie wtedy, gdy podstawą przetwarzania danych jest zgoda. W razie przetwarzania danych na innej podstawie prawnej (np. wykonanie umowy) zgoda taka nie jest wymagana przepisami RODO. Niemniej jednak zastosowanie będą miały powszechnie obowiązujące przepisy prawa polskiego.

Aleksandra Marek

Artykuł stanowi fragment lekcji nr 2 e-kursu: Rodo w praktyce - zapraszamy do udziału w e-kursie!