Rząd przyjął we wtorek projekt ustawy o ochronie danych osobowych. Początkowo zakładał on, że Polska wykorzysta możliwość, jaką daje unijne rozporządzenie 2016/679 (RODO), i obniży do 13 lat granicę wiekową, po ukończeniu której dzieci już samodzielnie będą mogły wyrażać zgodę na przetwarzanie swych danych osobowych. Ministerstwo Cyfryzacji podkreślało, że to rozwiązanie byłoby spójne z polskim kodeksem cywilnym. Zgodnie z nim osoba, która ukończyła 13. rok życia, może zawierać umowy w drobnych bieżących sprawach życia codziennego i rozporządzać swoim zarobkiem.

Pod koniec procesu legislacyjnego rząd uznał jednak, że granica wiekowa powinna zostać podwyższona do progu wskazywanego w RODO, czyli 16 lat. Zmiana ta wzbudza obawy przedsiębiorców.

„Pozostawienie granicy lat 16 wydaje się rozwiązaniem skrajnie nieżyciowym – ciężko oczekiwać, by osoba, której do osiągnięcia pełnoletniości brakuje 2 lata, korzystała z internetu w permanentnej obecności rodziców, gotowych do wyrażenia w jej imieniu zgody na przetwarzanie danych osobowych. Nastolatek w wieku do 16 lat nie będzie mógł swobodnie decydować o udzieleniu zgody na przetwarzanie swoich danych osobowych, ale będzie mógł rejestrować się na serwisach handlowych czy sieciach społecznościowych i akceptować ich regulaminy, które mogą być w dużo większym stopniu intruzywne dla jego prywatności” – napisał w swym stanowisku do projektu Związek Przedsiębiorców i Pracodawców.

Co jeszcze zmieni się w przepisach

Co jeszcze zmieni się w przepisach

źródło: Dziennik Gazeta Prawna

Polska Izba Informatyki i Telekomunikacji, która ma podobne zastrzeżenia, zwraca dodatkowo uwagę, że zmianę wprowadzono w ostatnim momencie i przedsiębiorcy będą mieli problemy z dostosowaniem się do nowych wymagań do 25 maja 2018 r., kiedy to zacznie być stosowane RODO.

„Dużą część internautów stanowią osoby z wiekowego przedziału 13–16 lat, więc wprowadzona do projektu przepisów zmiana będzie miała wysokie oddziaływanie na techniczno-organizacyjne aspekty wdrożenia RODO przez przedsiębiorców” – można przeczytać w tym stanowisku. Podobne obawy sprawiły, że wiele państw UE zdecydowało się skrócić okres ochronny (m.in. Czechy, Dania, Irlandia, Estonia, Finlandia, Hiszpania, Szwecja, Portugalia).

Nie każda usługa

Problem może stanowić już samo ustalenie, jakie serwisy będą musiały weryfikować wiek dzieci. RODO w art. 8 wskazuje na „usługi społeczeństwa informacyjnego oferowane bezpośrednio dziecku”. Jak rozumieć ten przepis? Czy chodzi o serwisy skierowane wyłącznie do dzieci, czy też również takie, które mają ofertę i dla dzieci, i dla dorosłych?

– Kryterium to może budzić wątpliwości. Uznałbym jednak, że chodzi również o usługi kierowane jednocześnie do dorosłych i do dzieci. Regulacja ta będzie przykładowo dotyczyć usług typu wideo na żądanie czy serwisów z grami komputerowymi – ocenia dr Bartosz Marcinkowski, partner w kancelarii Domański Zakrzewski Palinka. Zwraca jednocześnie uwagę, że chodzi wyłącznie o sytuacje, gdy przetwarzanie danych w ogóle wymaga zgody. Jeśli jest dopuszczalne na podstawie innych przesłanek, to nieletni użytkownik nie będzie musiał prosić rodzica o wyrażenie zgody.

W efekcie może dochodzić do nieco kuriozalnych sytuacji. Trzynastolatek będzie mógł bowiem za kieszonkowe kupić książkę w księgarni internetowej. Jego dane będą niezbędne do realizacji umowy, czyli przesłania książki. Rodzic nie będzie więc musiał wyrażać zgody na ich przetwarzanie. Jednocześnie, gdyby ten sam trzynastolatek chciał wyrazić zgodę na otrzymywanie informacji o nowościach wydawniczych, to będzie musiał poprosić o to rodzica.

– Samo założenie konta poczty elektronicznej nie będzie wymagało zgody rodzica, ale wykorzystywanie tego konta w celu doręczania informacji marketingowych bądź udostępnienia jego adresu partnerom biznesowym operatora poczty już tak – wyjaśnia różnice dr Maciej Kawecki, dyrektor departamentu zarządzania danymi w MC.

– Należy jednak przestrzegać przed próbami tworzenia usług na siłę, tylko po to, by przesłanką przetwarzania danych była umowa (regulamin), a nie zgoda rodziców – zastrzega, podając przykład newslettera. Na jego otrzymywanie powinna być wymagana zgoda, a w przypadku dzieci do lat 16, zgoda rodziców.

Potwierdzanie wieku

Jeszcze trudniejsze dla firm oferujących usługi internetowe może być wypracowanie skutecznego mechanizmu weryfikacji wieku osoby udzielającej zgody.

– Przy czym RODO nie wymaga tu stuprocentowej pewności, tylko mówi o „rozsądnych staraniach” w tym zakresie – zaznacza dr Bartosz Marcinkowski.

Wielu usługodawców internetowych uzna za wystarczające potwierdzanie zgody poprzez zwykły e-mail. Oczywiście skuteczność tego nie będzie zbyt duża, gdyż przeciętnemu nastolatkowi założenie konta e-mail nie zajmie więcej niż kilka minut.

– Wiarygodne potwierdzanie wieku osoby zaznaczającej zgodę nie jest rzeczą prostą. Wymaga ono zastosowania dodatkowych mechanizmów, które nie mogą być dla dziecka łatwe do obejścia. Jednym z rozwiązań może być weryfikacja z wykorzystaniem przelewów na jeden grosz. Zestawienie danych rodzica podanych w formularzu z danymi nadawcy przelewu pozwoli na weryfikację, czy to faktycznie rodzic wyraził zgodę, czy też dziecko podało dane rodzica i samo wypełniło formularz. Innym sposobem może być nawiązywanie kontaktu telefonicznego w celu weryfikacji danych, choć może to być zawodne – podpowiada Witold Chomiczewski, radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy.

Eksperci nie mają natomiast wątpliwości, że za wiarygodny mechanizm weryfikacji wieku nie można uznać samego podania daty urodzenia czy też zaznaczenia opcji potwierdzającej pełnoletność. Takie rozwiązania z pewnością nie zostaną również uznane za wystarczające w przypadku kontroli ze strony Urzędu Ochrony Danych Osobowych. A to przed nim przedsiębiorca będzie musiał ostatecznie udowodnić, że podjął „rozsądne starania”, o których mowa w RODO.

Przepisy o przetwarzaniu danych przestępców mocno opóźnione

O ile ustawa o ochronie danych osobowych ma szanse zostać uchwalona, zanim zacznie być stosowane RODO, o tyle przepisy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości na pewno będą opóźnione. Dopiero teraz w wykazie prac legislacyjnych Rady Ministrów zapowiedziano przygotowanie projektu tej ustawy, podczas gdy powinna ona być uchwalona najdalej do 6 maja 2018 r. Tego od nas wymaga unijna dyrektywa 2016/680. Konkretny projekt wciąż nie został opublikowany. Z założeń wiadomo jedynie, że ustawa ma uregulować przetwarzanie danych w celach prowadzenia postępowań karnych, wykonywania orzeczeń w nich zapadłych, wykonywania czynności operacyjno-rozpoznawczych, a także zwalczania czynów zabronionych. Jej przepisów nie będą jednak musiały stosować służby takie jak ABW, SKW czy CBA.

Etap legislacyjny

Projekt przyjęty przez Radę Ministrów