Ako spracúvať osobné údaje detí v súlade s GDPR?

V rámci otázok týkajúcich sa spracúvania osobných údajov sa často stretávame s s otázkou ako spracúvať osobné údaje detí, ktoré sú považované za zraniteľné osoby. Nariadenie GDPR vo viacerých častiach odkazuje na zabezpečenie zvýšenej starostlivosti o tieto osobné údaje a priznáva im osobitnú ochranu. V našom ďalšom článku Vám prinášame stručný prehľad práve uvedených aspektov spracúvania osobných údajov detí.

V zmysle recitálu 38 Nariadenia GDPR si osobitnú ochranu osobných údajov zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a svojich práv, ktoré môžu byť dotknuté alebo súvisieť so spracúvaním ich osobných údajov.

Táto osobitná ochrana by sa mala vzťahovať najmä na využívanie osobných údajov detí na:

a) účely marketingu, alebo
b) vytvorenie osobného, alebo
c) používateľského profilu a získania údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu.

Nariadenie GDPR zároveň ustanovuje, že v prípade súhlasu nositeľa rodičovských práv a povinností so spracúvaním osobných údajov dieťaťa by tento nemal byť potrebný v súvislosti s poradenskými službami, ktoré sú ponúkané priamo dieťaťu.

Veková hranica detí stanovená pre účely Nariadenia GDPR

V zmysle čl. 8 ods. 1 Nariadenia GDPR je spracúvanie osobných údajov detí v súvislosti s ponukou služieb informačnej spoločnosti zákonné, len ak má dieťa aspoň 16 rokov. V prípade nižšej vekovej hranice je takéto spracúvanie osobných údajov zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadrí alebo schváli nositeľ rodičovských práv a povinností. Právne predpisy členských štátov EÚ môžu upraviť nižšiu vekovú hranicu za predpokladu, že táto nie je menej než 13 rokov.

Predmetným ustanovením nie je dotknuté všeobecné zmluvné právo členských štátov, napr. pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

V prípadoch, ak nositeľ rodičovských práv udelil súhlas so spracúvaním osobných údajov dieťaťa alebo takýto súhlas schválil platí povinnosť Prevádzkovateľa vynaložiť primerané úsilie, aby si v takýchto prípadoch overil udelenie daného súhlasu (a to práve nositeľom rodičovských práv a povinností), berúc do úvahy dostupnú technológiu.

Z rozhodovacej praxe – Ako spracúvať osobné údaje detí

V septembri 2023 Írsky dozorný orgán vydal rozhodnutie, ktorým uložil spoločnosti TikTok Technology Limited (ďalej len „TTL“) pokutu vo výške 345 miliónov € v súvislosti s vyšetrovaním zameraným na spracúvanie osobných údajov detí TTL v období júl 2020 – 31. december 2020.

V rámci daného skúmania Írsky dozorný orgán TTL vytýkal viaceré porušenia ochrany osobných údajov, najmä:

a) samotné nastavenie platformy TikTok, vrátane verejných by-default nastavení, ako aj nastavení týkajúcich sa tzv. Family Pairing feature,
b) systém overovania veku užívateľov v rámci registračného procesu platformy TikTok (možnosť prístupu deťom pod vekovou hranicou 13 rokov),
c) plnenie informačných povinností TTL vrátane dodržania zásad transparentnosti spracúvania osobných údajov, a
d) implementácia tzv. „dark patterns“ techník, v zmysle ktorých boli užívatelia TikTok nabádaní k voľbe viac intruzívnych možností z hľadiska ochrany osobných údajov v rámci registrácie a v prípadoch online zverejňovania videí.

Okrem uloženej pokuty Írsky dozorný orgán TTL napomenul a TTL nariadil uviesť dotknuté spracovateľské činností s osobnými údajmi do súladu s jeho odporúčaniami a príslušnou legislatívou. V danej veci taktiež vydal EDPB záväzné rozhodnutie podľa čl. 65 Nariadenia GDPR .

Usmernenia k spracúvaniu osobných údajov detí dozorných orgánov

K téme spracúvania osobných údajov detí, vrátane spracúvania osobných údajov v školských zariadeniach bolo vydaných viacero publikácií, odporúčaní a/alebo usmernení.

Do pozornosti určite odporúčame počin britského regulátora – Information Commissioner’s Office – ICO, ktorý na svojom webovom sídle zverejnil v roku 2020 usmernenia týkajúce sa spracúvania osobných údajov detí v online prostredí.

Children’s code napr. obsahuje zoznam odporúčaní za účelom dosiahnutia súladu pri spracúvaní osobných údajov detí v rámci aplikácií, hier či zariadení pripojených na internet, a to vrátane nových služieb.

Predmetné usmernenie pokrýva služby informačnej spoločnosti, ku ktorým môžu mať prístup aj deti, pričom tieto služby zahŕňajú:

• aplikácie,
• programy,
• internetové prehliadače,
• sociálne siete,
• zariadenia určené pre online správy vrátane online telefonických služieb,
• online trhoviská,
• služby strímovania obsahu,
• online hry,
• edukačné platformy a spravodajstvo,
• akékoľvek webové stránky ponúkajúce ďalšie tovary alebo služby prostredníctvom internetu.

Za účelom dosiahnutia súladu britský regulátor odporúča poskytovateľom uvedených služieb vziať do úvahy a následne implementovať nasledujúce opatrenia (vo vzťahu k spracúvaniu osobných údajov detí):

a) vykonať mapovanie osobných údajov, ktoré sú získavané od detí (z Veľkej Británie),
b) realizovať kontrolu veku návštevníkov webových sídiel a osôb, ktoré si sťahujú alebo hrajú online hry,
c) vypnúť geolokačné služby monitorujúce lokality návštevníkov webových sídiel,
d) nepoužívať techniky, ktoré detí povzbudzujú v poskytnutí širšieho rozsahu spracúvaných osobných údajov, a
e) zabezpečiť vysokú úroveň ochrany osobných údajov (privacy by default).

V nadväznosti na uvedené je tiež potrebné spomenúť taktiež iniciatívu spoločnosti Google, ktorá v polovici októbra tohto roku zverejnila politiku rámca ochrany detí a tínedžerov v online prostredí, predmetom ktorej je stanovenie základných zásad a poskytnutie návodu pre zlepšenie ochrany detí v online prostredí. Predmetná politika je postavená na nasledovných pilieroch:

1. Rešpektovanie záujmov a vývojových štádií detí a tínedžerov
2. Poskytovanie funkcií a prvkov primeraných veku detí a tínedžerov
3. Znižovanie rizík súvisiacich s obsahom pri zachovaní výhod
4. Zabezpečenie dohľadu a zodpovednosti

Z iniciatív Úradu pre ochranu osobných údajov Slovenskej republiky

Úrad pre ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) zverejnil na svojom webovom sídle informáciu o zriadení osobitnej e-mailovej schránky, ktorá je určená pre deti a mládež.

V zmysle tlačovej správy úradu, ochrana osobných údajov detí je mimoriadne dôležitou témou obzvlášť v dnešnom svete, ovplyvnenom sociálnymi médiami. Tie so sebou prinášajú mnoho nástrah a príležitostí na zneužitie. Deťom a  mládeži preto úrad v septembri tohto roku zriadil v prípade otázok týkajúcich sa osobných údajov osobitnú mailovú adresu junior@pdp.gov.sk.

Ďalšou zaujímavou aktivitou úradu je vyhlásenie súťaže, ktorá je určená pre žiakov 8 a 9 ročníka základných škôl. Súťaž spočíva v napísaní práce k téme čo o mne vie internet alebo ja a moja budúcnosť na sociálnych sieťach. Viac informácií k tejto súťaži je dostupných na webovom sídle úradu tu.

Záver – Ako spracúvať osobné údaje detí

Povaha spracúvania osobných údajov detí vyžaduje osobitnú pozornosť. Uvedené vyplýva nielen z rozhodovacej praxe dozorných orgánov, ktoré v prípadoch porušenia ochrany osobných údajov v podobných prípadoch ukladajú vyššie pokuty, ale aj vo svetle právnych predpisov na úseku ochrany osobných údajov, ktoré na spracúvanie osobných údajov detí nazerajú citlivejšie.

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb