W myśl art. 8 ust. 1 RODO, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat i wyraziło na to zgodę, pod warunkiem, że dotyczy to usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. Każdemu z państw członkowskich przysługuje prawo do obniżenia dolnej granicy tego wieku do maksymalnie 13 lat. Polski ustawodawca, w projekcie nowej ustawy o ochronie danych osobowych, zdecydował się skorzystać z tej opcji.

25 maja 2018 r. w polskim porządku prawnym zacznie obowiązywać unijne rozporządzenie, regulujące zagadnienia związane z ochroną danych osobowych - RODO. Jedną z normowanych materii jest ochrona danych dzieci w internecie.

Unijny prawodawca zdaje sobie sprawę, iż użytkownikami sieci są nie tylko dorośli, ale również dzieci w różnym wieku. RODO stara się chronić tę kategorię osób, szczególnie w przypadku wykorzystywania ich danych osobowych do celów marketingowych lub do tworzenia profili osobowych. Rodzi się jednak pytanie czy jest to regulacja wystarczająca.

Najważniejszym rozwiązaniem zaproponowanym w zbliżającej się reformie prawa ochrony danych osobowych jest art. 8 RODO.

W myśl art. 8 ust. 1 RODO, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat i wyraziło na to zgodę pod warunkiem, że dotyczy to usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. Co one obejmują, piszemy w dalszej części artykułu.

Każdemu z państw członkowskich przysługuje prawo do obniżenia dolnej granicy tego wieku do maksymalnie 13 lat. Polski ustawodawca, w projekcie nowej ustawy o ochronie danych osobowych, zdecydował się skorzystać z tej opcji i obniżył dolną granicę do 13 lat. Należy uznać to za pozytywną zmianę. Zapobiegnie to niepotrzebnemu różnicowaniu granic wieku w polskim systemie prawnym, gdyż nasz kodeks cywilny od momentu wejścia przewiduje - w ograniczonym zakresie - możliwość zawierania umów przez dzieci, które ukończyły właśnie 13 lat.

Natomiast przetwarzanie danych osobowych dzieci poniżej dolnej granicy wieku, jest uzależnione od wyrażenia zgody przez rodzica lub opiekuna prawnego albo po niezwłocznym potwierdzeniu przez nich zgody wyrażonej przez dziecko.

By prawidłowo stosować art. 8 ust. 1 RODO kluczowe jest wyjaśnienie co oznacza zwrot usługi społeczeństwa informacyjnego oferowane bezpośrednio dziecku. RODO odwołuje się w tej kwestii do dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1355. Nie wdając się w zawiłe szczegóły terminologiczne, usługa społeczeństwa informacyjnego, to każda usługa świadczona elektronicznie na odległość, za wynagrodzeniem, która została indywidualnie zamówiona przez odbiorcę (w polskim prawie funkcjonuje pod pojęciem usług świadczonych drogą elektroniczną). Oznacza to, że usługą społeczeństwa informacyjnego będzie np. korzystanie z gry wideo na stronie internetowej, oglądanie filmów na żądanie (VOD), słuchanie muzyki za pośrednictwem aplikacji.

Natomiast zamówienie online dostawy tej samej gry, filmu lub muzyki w fizycznej formie np. płyty nie będzie już kwalifikowane jako usługa społeczeństwa informacyjnego, a zatem nie znajdzie zastosowania art. 8 ust. 1 RODO .

W tym zakresie będzie to rodziło wątpliwości, jak należy postępować z danymi osób poniżej 18 roku życia, jeżeli np. osoba taka zamówi w sklepie internetowym papierowy podręcznik do szkoły. W myśl bowiem art. 20 kodeksu cywilnego, jeżeli dziecko ukończyło 13 lat może bez zgody rodzica zawierać umowy należące do umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego, a za taką należy uznać nabycie książki. Powstaje zatem pytanie, czy przez sam fakt zakupu podręcznika przez osobę, która nie ukończyła jeszcze 18 lat, może ona samodzielnie decydować o przetwarzaniu jej danych osobowych, czy też potrzebna jest do tego zgoda jej rodzica.

Odnośnie sformułowania usług oferowanych bezpośrednio dziecku panuje pogląd, iż należy przez to rozumieć tylko te usługi, które dedykowane są dzieciom, ewentualnie łącznie dzieciom oraz dorosłym.

Jeżeli pojawi się usługa społeczeństwa informacyjnego kierowana bezpośrednio do dziecka, a małoletni nie ukończył 13 lat, to wtedy administrator danych
(z reguły dostawca usługi) będzie zobowiązany „uwzględniając dostępną technologię podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała” (art. 8 ust. 2 RODO).

Jeżeli dostawca usługi stwierdzi, iż użytkownik usługi jest poniżej granicy przewidzianego wieku lub poweźmie wątpliwości co do jego rzeczywistego wieku, powinien podjąć czynności weryfikacyjne. RODO milczy na temat tego o jakie konkretnie starania weryfikacyjne chodzi.

Wydaje się, że najbardziej popularną, choć niepozbawioną wad metodą weryfikacji oraz uzyskania zgody od rodziców lub opiekuna prawnego, będzie korespondencja mailowa z rodzicami. Wyjątkiem od obowiązku uzyskiwania zgody od rodziców będzie sytuacja, w której dane przetwarzane będą w związku z usługami profilaktycznymi lub doradczymi oferowanymi bezpośrednio dziecku np. czat dziecka ze specjalistą od problemów nastolatków.

Administratorzy danych osobowych przetwarzający dane osób niepełnoletnich muszą mieć świadomość, że art. 8 RODO daje im tylko prawo do przetwarzania danych osobowych, natomiast nie wpływa na inne przepisy odwołujące się do wieku, np. w dalszym ciągu alkohol będzie mogła kupić wyłącznie osoba pełnoletnia.

Niezależnie od art. 8 RODO, w art. 12 ust. 1 wprowadzono ogólną zasadę, iż w sytuacji, gdy po stronie administratora danych osobowych istnieje obowiązek informacyjny względem osób, których dane przetwarza, to gdy taką osobą jest dziecko, informacje te należy przedstawić „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.

RODO zakazuje również wykorzystywania danych osobowych dzieci w celu tzw. profilowania, które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe dziecka, a w szczególności analizować lub prognozować aspekty dotyczące jego sytuacji ekonomicznej, rodzinnej, zdrowotnej, osobistych preferencji i zainteresowań, lokalizacji miejsca przebywania.

Wejście w życie RODO było szansą na kompleksowe uregulowanie zagadnień związanych z ochroną danych osobowych dzieci, zarówno w świecie wirtualnym, jak i w rzeczywistym. Wprawdzie unijne rozporządzenie zawiera kilka ciekawych pomysłów na zwiększenie ochrony dzieci , np. zakaz profilowania, jednakże próby te z jednej strony są zbyt ogólne, natomiast z drugiej - jak w przypadku usług świadczonych za pośrednictwem sieci regulują daną materię zbyt wąsko. Pominięto choćby uregulowanie kwestii przetwarzania danych osobowych dzieci, w kontekście zamawiania przez nich fizycznych produktów przez internet. Brak stosownych przepisów w tym zakresie będzie nastręczał wiele trudności interpretacyjnych , jak choćby problem przetwarzania danych osobowych dziecka pokazany na przykładzie internetowej sprzedaży papierowego podręcznika. Z opisanymi komplikacjami będą musieli uporać się administratorzy danych osobowych, de facto głównie przedsiębiorcy i to nie tylko ci działający w branży e-commerce.

Radca Prawny Marcin Siemienkiewicz
Kancelaria Kawczyński – Kieszkowski
Adwokaci i Radcowie Prawni