Ochrona Danych Osobowych

Przetwarzanie danych osobowych małoletnich w celach marketingowych – czy wolno to robić? Jakie są obowiązki administratora danych odnośnie do zapewnienia bezpieczeństwa przetwarzania danych osobowych dzieci?

Kwestia przetwarzania danych osobowych małoletnich została uregulowana w art. 8 ust. 1 RODO, w myśl którego: zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat i wyraziło na to zgodę, pod warunkiem, że dotyczy to usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. Przetwarzanie danych osobowych dzieci poniżej dolnej granicy wieku, jest uzależnione od wyrażenia zgody przez rodzica lub opiekuna prawnego albo po niezwłocznym potwierdzeniu przez nich zgody wyrażonej przez dziecko. RODO przewiduje wprawdzie możliwość obniżenia progu wiekowego określonego w Rozporządzeniu, ale rodzimy ustawodawca słusznie nie skorzystał z tej sposobności. Tak więc w Polsce małoletni może samodzielnie wyrazić zgodę np. na otrzymywanie informacji handlowej jedynie wówczas, gdy ukończył 16 rok życia. W wypadku przeciwnym, aby legalnie przetwarzać jego dane osobowe, niezbędne jest uzyskanie zgody opiekuna prawnego lub rodzica dziecka.

Aby prawidłowo zrozumieć i zastosować art. 8 ust. 1 RODO, niezbędne jest wyjaśnienie znaczenia terminu „usługa społeczeństwa informacyjnego”, którego definicji należy poszukiwać w treści dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1355, zgodnie z którą jest to: „każda usługa świadczona elektronicznie na odległość, za wynagrodzeniem, która została indywidualnie zamówiona przez odbiorcę”. Odnosząc się do rodzimych regulacji, ten rodzaj usługi należy utożsamiać z pojęciem usług świadczonych drogą elektroniczną. Usługą społeczeństwa informacyjnego będzie zatem np. oglądanie filmów czy muzyki „na żądanie”, tj. za pośrednictwem aplikacji. Co ciekawe, zakup tego samego filmu lub płyty drogą internetową nie będzie się już mieścił w zakresie art. 8. ust. 1 RODO.

Odnosząc się w dalszej kolejności do wykładni określenia „usług oferowanych bezpośrednio dzieciom”, dotyczy ono – zgodnie z przeważającym stanowiskiem piśmiennictwa – usług dedykowanych dzieciom, ewentualnie usług, które kierowane są zarówno do dzieci, jak i osób dorosłych. Jeśli zatem usługa społeczeństwa informacyjnego kierowana jest do dziecka poniżej 16 roku życia, dostawca usługi (będący jednocześnie administratorem danych osobowych), zobowiązany jest – zgodnie z art. 8 ust. 2 RODO – „uwzględniając dostępną technologię podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”. W praktyce oczywiście uzyskanie takiej zgody może okazać się trudne – zwykle bowiem dostawca usługi nie ma możliwości weryfikacji bez cienia wątpliwości wieku osoby wyrażającej zgodę na przetwarzanie danych osobowych. W takim przypadku najbezpieczniejszą formą jej uzyskania (a jednocześnie realizującą zasadę rozliczalności) jest zamieszczenie dodatkowej deklaracji na np. stronie internetowej lub formularzu usługowym, tj.: „Oświadczam, że mam ukończone 16 lat” lub „Oświadczam, że nie mam ukończonych 16 lat”. W przypadku wyboru drugiej opcji przez użytkownika, administrator powinien zadbać o wyświetlenie automatycznego komunikatu, że korzystanie z usługi danego typu wymaga zgody rodzica/opiekuna prawnego małoletniego. Treść obowiązku informacyjnego w przypadku przetwarzania danych osobowych osób małoletnich nie odbiega treścią od wytycznych zawartych w art. 13 RODO.

Podkreślenia wymaga, że w pkt. 71 Preambuły mowa jest wprost o zakazie stosowania profilowania w odniesieniu do osób małoletnich.

Podsumowanie

Istotną – obok legalnego pozyskania zgód – kwestią jest zapewnienie właściwej ich archiwizacji. W tym celu warto zweryfikować z pomocą doświadczonego informatyka, czy w danym programie lub czy przy wykorzystaniu narzędzi dostępnych na danej stronie www. możliwe jest wygenerowanie w dowolnej chwili listy udzielonych zgód wraz z datą ich udzielenia. Kolejną możliwością jest przekierowanie informacji dotyczących faktu udzielenia zgody przez osobę korzystającą ze strony www lub innej usługi na konkretny adres mailowy np. pracownika usługodawcy, który będzie je na bieżąco archiwizował. Istotne jest, aby dysponować możliwością wykazania wobec osoby, które dane osobowe dotyczą, że są one przetwarzane zgodnie z prawem, tj. na podstawie udzielonej zgody. Zasada ta dotyczy oczywiście zarówno danych osobowych dzieci, jak i dorosłych.

Autor:

 
Marta Rabe-Kozłowska

Marta Rabe-Kozłowska

Radca Prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego, ochrony danych osobowych oraz legal english.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *