
Czy pamiętacie serwis Pobieraczek? 10 lat temu masowo żądał od Polaków (w tym głównie nastolatków) opłat abonamentowych za pobieranie plików. Temat znam doskonale, bo byłam wówczas rzecznikiem konsumentów. Skargi zdenerwowanych rodziców stanowiły mój chleb powszedni. Ostatecznie właściciele serwisu zostali kilkukrotnie ukarani przez UOKiK. Przegrali również sprawę cywilną w sądzie wytoczoną przez byłych klientów. Zastrzeżenia budziły niejasne postanowienia regulaminu serwisu i zastraszanie użytkowników. Pojawił się również wątek odpowiedzialności finansowej rodziców za małoletnie dzieci. Jak również kwestia zgody opiekuna.
Dziś temat dzieci i usług świadczonych w sieci powrócił do mnie w kontekście Rodo. A konkretnie, przy opiniowaniu rozwiązań prawnych dla usługi internetowej. Pytanie było następujące: kiedy usługodawca musi pozyskać zgodę rodzica na przetwarzanie danych osobowych dziecka?
Co mówi Rodo na temat dzieci?
Z Rodo jasno wynika, że dane osobowe dzieci wymagają szczególnej ochrony. Dlaczego? Bo dzieci mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i przysługującym ich praw.
Taka szczególna ochrona powinna zadziałać zwłaszcza, gdy dane dzieci są wykorzystywane w celach marketingowych, w celach tworzenia profili osobowych lub użytkownika oraz w przypadku zbierania danych dzieci korzystających z usług skierowanych bezpośrednio do nich.
Skoncentrujmy się jednak wyłącznie na dzieciach – użytkownikach Internetu.
Czy dziecko może założyć konto na FB? Robić zakupy i grać w gry online?
Większość serwisów umożliwia zarejestrowanie konta, jeśli użytkownik ukończył 13 lat. Wiąże się to z tym, że w świetle prawa 13-latek możne zawierać umowy w drobnych bieżących sprawach życia codziennego. Nie wymagają one potwierdzenia przez rodzica czy opiekuna.
Nie istnieje jednak zamknięty katalog umów należących do kategorii tzw. spraw drobnych. Każdą umowę trzeba ocenić indywidualnie. Biorąc m.in. pod uwagę wiek i stan psychiczny dziecka. A także konsekwencje, jakie niesie zawarcie tej umowy. I tak do spraw drobnych zaliczymy niewielkie zakupy spożywcze i odzieżowe czy zakup biletu na komunikację miejską lub imprezę kulturalną. Ale nie będą już to zakupy drogich przedmiotów lub zaciąganie zobowiązań związanych z koniecznością zapłaty abonamentu.
Do czasu wejścia w życie Rodo dzieci nie miały najmniejszych problemów z założeniem kont w portalach społecznościowych lub skrzynki e-mail. Rzadko kiedy weryfikowany był też wiek użytkowników. Wejście w życie Rodo pociągnęło za sobą zmiany…
Co zmieniło Rodo w sprawie dzieci ? Kiedy konieczna jest zgoda rodzica na przetwarzanie danych dziecka?
Nowe przepisy wprowadziły pewne wymogi i szczególne warunki wyrażenia zgody przez dziecko lub zgody rodzica/opiekuna. I dotyczy to konkretnej sytuacji – przetwarzania na podstawie zgody i w odniesieniu do usług społeczeństwa informacyjnego oferowanych dziecku.
I tak, zgodnie z przepisami, jeśli przetwarzanie danych odbywa się na podstawie zgody (art. 6 ust. 1 lit. a Rodo) w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku- zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat.
Ale, jeżeli dziecko nie ukończyło 16 lat – przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.
Na mocy Rodo państwa członkowskie dysponowały pewną swobodą co do określenia granicy wiekowej. Miała ona wynosić co najmniej 13 lat. Istniała zatem możliwość obniżenia przez polskiego ustawodawcę wieku tzw. cyfrowej zgody do lat 13. Co byłoby spójne z regulacjami prawa cywilnego dotyczącymi zdolności do czynności prawnych (o czym wyżej pisałam -13 lat i drobne sprawy). Jednak ostatecznie Polski ustawodawca utrzymał granicę wieku zgody cyfrowej na poziomie 16 lat.
Dodam tylko celem wyjaśnienia, że usługi społeczeństwa informacyjnego to usługi świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług.
Zaś usługi bezpośrednio oferowane dzieciom to takie usługi, które są przeznaczone specjalnie dla nich. Np. serwisy z bajkami i grami komputerowymi dla najmłodszych. Jak również inne usługi, które są dostępne dla dzieci.
Obowiązki administratora danych
W kontekście szczególnej ochrony danych osobowych dzieci, warto szczególną uwagę skierować na dodatkowe obowiązki administratora, o których poniżej.
Do dzieci prostym językiem
Administrator ma obowiązek zapewnienia, że informacje przekazywane osobom, których dane dotyczą będą zwięzłe, przejrzyste i wyrażone prostym językiem. Szczególnie ważna jest prostota i jasność komunikatów kierowanych do dzieci.
Weryfikacja zgody rodzica
Uwzględniając dostępną technologię, administrator zobowiązany jest podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Rodo nie informuje jak administrator ma to zrobić. Wygląda na to, że najpierw trzeba sprawdzić czy „rodzic to rodzic” i czy to on faktycznie wyraził zgodę.
Tych, którym do głowy wpadł właśnie pomysł przesłania skanu dowodu osobistego celem potwierdzenia tożsamości uczulę, że nie jest to dobre rozwiązanie, bo godzi w zasadę minimalizmu. Lepszym sposobem weryfikacji rodzica będzie wykorzystanie adresu poczty elektronicznej. Na przykład na wzór amerykańskiej ustawy o ochronie prywatności dzieci w sieci.
Różne granice wiekowe
Administrator powinien być świadomy różnic w przepisach krajowych dotyczących wieku cyfrowej zgody. Granica wieku może być inna w poszczególnych państwach EOG i zależy też od przyjętej właściwości prawnej.
Weryfikacja wieku cyfrowego
Na administratorze ciąży obowiązek sprawdzenia, czy użytkownik osiągnął wiek cyfrowej zgody. Jeśli dziecko, które wyraziło zgodę nie osiągnęło wymaganego wieku, może okazać się że przetwarzanie jego danych jest nielegalne.
Nowa zgoda- gdy dziecko dorośnie
Może zdarzyć się też taka sytuacja, że administrator będzie miał obowiązek uzyskania nowej zgody w przypadku osiągnięcia przez dziecko „wieku cyfrowego”. Wówczas może sam decydować o swoich danych osobowych.
Podsumowanie
Przedsiębiorcy internetowi, z których usług korzystają lub mogą korzystać niepełnoletni powinni mieć na uwadze uwzględnienie w swoich procedurach mechanizmu ochrony danych osobowych dzieci. O tym jakie środki i narzędzia zostaną zastosowane decyduje sam administrator danych. To on ostatecznie odpowiada za nielegalne przetwarzanie danych. Warto zatem już w momencie projektowania usług zastanowić się do kogo produkt jest skierowany i kto będzie mógł mieć do niego dostęp. Kolejne kroki wymagają analizy przesłanki legalności przetwarzania, weryfikacji zgód i procedur realizacji uprawnień.
Źródła prawa
Amerykańska ustawa o ochronie prywatności dzieci w sieci,
.