Jeśli dziecko ma wyrazić zgodę na przetwarzanie danych osobowych, musi rozumieć kierowany do niego komunikat i wiedzieć, na co się zgadza - uważają GIODO i RPD, którzy chcą opracować zasady wyrażania przez dzieci zgody na przetwarzanie danych w związku z usługami internetowymi.

Generalny Inspektor Ochrony Danych Osobowych Edyta Bielak-Jomaa i rzecznik praw dziecka Marek Michalak rozpoczęli prace nad uregulowaniem kwestii wyrażania zgody na przetwarzanie danych przez dzieci. W czwartek w biurze RPD odbyło się eksperckie seminarium na ten temat. Jak wyjaśniła GIODO, ma to związek z unijnym rozporządzeniem w sprawie ochrony danych.

"Podjęliśmy próbę odpowiedzi na pytanie, od ilu lat dziecko powinno mieć prawo do samodzielnego wyrażania zgody na przetwarzanie danych osobowych w związku z usługami społeczeństwa informacyjnego" - powiedziała GIODO na spotkaniu z dziennikarzami.

Zaznaczyła, że w myśl rozporządzenia dzieckiem jest osoba do ukończenia 18 lat, jednak pozwala ono, by osoby powyżej 16 lat mogły samodzielnie decydować o wyrażaniu zgody na przetwarzanie danych, nie pozwala zaś, by samodzielnie wyrażały zgodę dzieci poniżej 13 lat; dzieci w wieku 13-16 lat mogłyby samodzielnie decydować, jeśli ustawodawstwo krajowe tak przyjmie.

RPD i GIODO są zdania, że dzieciom należy zapewnić w tym kontekście prawo do ochrony do 18 lat.

Bielak-Jomaa podkreśliła, że kwestie te muszą być rozpatrywane z punktu widzenia prawa - np. biorąc pod uwagę wszystkie konsekwencje wyrażenia takiej zgody czy możliwości jej odwołania - a także z punktu widzenia ochrony dziecka. Michalak wskazał także na prawa dziecka - do informacji, wyrażania własnego zdania i partycypacji. Trzeba też wziąć pod uwagę prawo rodziców do decydowania w sprawach dziecka.

Rzecznik podkreślił, że dziecko musi otrzymać informacje w formie dla niego przyswajalnej; jeśli ma wyrazić zgodę, musi wiedzieć, na co się godzi i jakie są tego konsekwencje. "Wtedy możemy mówić o prawdziwym prawie do partycypacji dziecka" - zaznaczył.

GIODO dodała, że w rozporządzeniu zapisano, że komunikaty, kierowane w szczególności do dzieci, muszą być napisane w języku dla nich zrozumiałym. Jej zdaniem powinny temu towarzyszyć takie techniczne rozwiązania, które ułatwią dzieciom podejmowanie świadomych decyzji. "Ja sobie wyobrażam, że strony internatowe byłyby tak zbudowane, by dziecko mogło wyrazić zgodę na przetwarzanie danych, nie przedzierając się przez gąszcz regulaminów; żeby oprócz zrozumiałej treści był też odpowiedni schemat stron" - mówiła.

Wskazała, że rozporządzenie mówi o tym, że język informowania wszystkich użytkowników powinien być zrozumiały, czytelny, krótki, budowany nie przez odwoływanie się mechanizmów prawnych, ale sformułowany tak, żeby każdy wiedział, na co się godzi. Jednak w szczególności język kierowany do dzieci musi być uproszczony.

Michalak podkreślił, że dziecko musi mieć też zapewnione prawo do powrotu - cofnięcia zgody, uzupełnienia informacji.

"Na pewno będziemy podejmować takie działania, które dobro dziecka uchronią na wszystkich płaszczyznach - tego, co dziecku przysługuje, zabezpieczające dziecko i dające możliwość rzetelnej partycypacji" - zapewnił RPD.

Bielak-Jomaa podkreśliła, że kwestie te powinny zostać uregulowane na poziomie ustawowym - w ustawie o ochronie danych osobowych; wskazała, że "gospodarzem" unijnego rozporządzenia jest Ministerstwo Cyfryzacji i to ono powinno zaproponować rozwiązania prawne. GIODO i RPD chcą wypracować dla niego rekomendacje; współpracują przy tym z przedstawicielami resortu.

GIODO przypomniała, że rozporządzenie zacznie obowiązywać w maju przyszłego roku, zatem do 25 maja 2018 r. wszystkie kwestie powinny zostać uregulowane.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych weszło w życie w maju zeszłego roku. Kraje członkowskie mają dwa lata na wdrożenie go.

Nowe prawo przystosowuje obowiązujące od 1995 r. w UE zasady ochrony danych do rozwoju nowych technologii internetowych i cyfrowych. Negocjacje nad tymi przepisami trwały kilka lat. Rozporządzenie przewiduje m.in., że aby dane użytkownika mogły być przetworzone, musi on wyrazić na to wyraźną zgodę, np. poprzez zaznaczenie na stronie internetowej pola z potwierdzeniem wyrażenia zgody na przetwarzanie danych. Przewidziano także uproszczony dla konsumentów mechanizm składania skarg w przypadku naruszenia ich prywatności.