Twórcy serwisów internetowych czy aplikacji dla dzieci niespecjalnie przejmują się RODO. Nawet jeśli wymagają zgody rodzica, to łatwo można ją obejść.
Co mówią przepisy / DGP
W okresie przygotowań do RODO nowy obowiązek, czyli konieczność uzyskiwania zgód rodziców na przetwarzanie danych osób nieletnich, budził spore obawy branży internetowej. Zwłaszcza gdy polski rząd ostatecznie zdecydował się podnieść z 13 do 16 lat granicę wiekową, do której zgody takie są wymagane. Twórcy serwisów internetowych przekonywali, że to rozwiązanie skrajnie nieżyciowe, które wręcz sparaliżuje ich działalność. Dzisiaj, po kilkunastu miesiącach stosowania RODO, okazuje się, że przepis ten w praktyce jest martwy. Rzadko który usługodawca w ogóle przewiduje konieczność wyrażenia zgody przez rodziców, a jeśli nawet, to nie weryfikuje tego, czy jest ona rzeczywiście udzielana przez dorosłych.
RODO wymaga uzyskiwania zgody rodzica wyłącznie w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. W praktyce więc obowiązek ten dotyczy głównie internetu. Wbrew powszechnemu przekonaniu założenie konta w serwisie społecznościowym czy zainstalowanie aplikacji na smartfonie wcale nie musi pod niego podpadać.
– Zgoda rodzica jest wymagana tylko tam, gdzie przetwarzanie danych opiera się na zgodzie. Jeżeli jest niezbędne choćby do realizacji umowy, to można oprzeć przetwarzanie o niezbędność do wykonania umowy, a wtedy nawet 13-letnie dziecko może zaakceptować regulamin i korzystać z danego serwisu czy aplikacji bez pytania dorosłych – zwraca uwagę dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
Jeśli jednak przetwarzanie danych nie jest niezbędne do realizacji usługi, to zgoda jest już wymagana. Chodzi np. o marketing czy różnego rodzaju newslettery. Regulacje są więc nieco niespójne. 13-letnie dziecko może bez pytania rodziców kupić grę w internecie, ale na otrzymywanie informacji o nowych produktach zgodę musi już wyrazić dorosły. W grę wchodzi jednak nie tylko marketing, ale też chociażby profilowanie czy każde przetwarzanie danych, które nie jest niezbędne do świadczenia usług.

Tylko nieliczni?

W praktyce więc, mimo pierwszego ze wskazanych ograniczeń, i tak stosunkowo często rodzice powinni być proszeni o zgodę. Tymczasem serwisów, które przewidują taką procedurę, jest relatywnie mało.
– Rzeczywiście panuje niemal kompletna cisza w temacie, który wcześniej budził wiele obaw. Przez tych kilkanaście już miesięcy stosowania RODO nie otrzymałem ani jednego zapytania związanego z koniecznością uzyskiwania zgody rodziców – mówi Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka.
– Szczerze mówiąc, nie dziwi mnie to jednak specjalnie, bo jestem zwolennikiem poglądu, że przepis ten należy stosować wyjątkowo rzadko. Chodzi wyłącznie o usługi online, które nie tylko oferowane są wprost dzieciom, ale też których dzieci są przeważającymi odbiorcami – uważa. Dlatego też, jego zdaniem, księgarnia internetowa nie musi pytać o zgodę rodziców na wysyłanie e-maili z nowościami książkowymi, nawet jeśli odbiorcami tej wiadomości mogą być też dzieci.
Przy takiej interpretacji art. 8 ust. 1 RODO grupa usługodawców internetowych, którzy powinni stosować ten przepis, rzeczywiście byłaby bardzo niewielka. Część prawników uważa jednak, że takie zawężenie zakresu jego zastosowania jest nieuprawnione.
– W mojej ocenie przepis należy interpretować szerzej. Chodzi o każdą usługę skierowaną do dzieci. Nie ma więc znaczenia, czy ze strony internetowej lub aplikacji mogą korzystać dorośli ani kto jest głównym odbiorcą. Pożądane byłoby, aby administrator informował, czy z usług, jakie oferuje, mogą korzystać dzieci. Gdyby ustawodawca chciał zawęzić ten przepis do usług oferowanych wyłącznie dzieciom, napisałby to wprost – uważa dr Edyta Bielak-Jomaa, wykładowca na Uniwersytecie Łódzkim, była prezes Urzędu Ochrony Danych Osobowych.
A jak to wygląda w praktyce? Różnie. Są serwisy, które intuicyjnie można uznać za adresowane do dzieci, niewymagające zgody rodziców np. na wysłanie newslettera (np. strony z grami online). Są też takie, których użytkownikami są w większości dorośli, a które proszą o zgodę rodziców na przetwarzanie danych (np. Facebook).

Każdy może obejść

Nawet jeśli serwis internetowy wymaga uzyskania zgody rodzica, to każde dziecko poradzi sobie z obejściem tego zabezpieczenia. Przykładowo jedna ze stron po prostu nie świadczy pewnych usług osobom, które nie ukończyły 16 lat. Jak jednak to sprawdza? Otóż sam użytkownik zaznacza w formularzu, że przekroczył już ten wiek. Nikt nie weryfikuje, czy deklaracja ta jest prawdziwa.
Nawet procedury stosowane przez największych dostawców usług internetowych można łatwo ominąć. Przykładowo Facebook wymaga zgody rodzica na wykorzystywanie danych od swych partnerów do wyświetlania lepiej spersonalizowanych reklam. Dziecko może wskazać konto rodzica, który następnie zaznacza właściwą opcję. Może jednak również podać swój adres e-mail. Wystarczy więc, że utworzy dodatkowe konto pocztowe, z którego potwierdzi, że jest rodzicem, i nikt tego nie sprawdza. Ten sposób jest jednym z najczęściej stosowanych także przez innych usługodawców, choć w praktyce niewiele daje.
– Usługodawca powinien w jakiś sposób weryfikować, czy zgodę rzeczywiście wyraża rodzic. Nie może być tak, że dziecko w łatwy sposób może obejść tę procedurę poprzez założenie dodatkowego adresu e-mail czy też zaznaczenie opcji, że ma więcej niż 16 lat. Skoro rynek poradził sobie z weryfikacją tożsamości dorosłych, to również tutaj powinien wypracować skuteczne mechanizmy – komentuje dr Edyta Bielak-Jomaa.
Prawdopodobnie dopiero decyzja UODO (czy ewentualny wyrok sądowy) mogłaby dać jednoznaczną wskazówkę, jakie serwisy powinny wymagać zgód dorosłych i w jaki sposób mają one być składane. Do UODO wpływają skargi na przetwarzanie danych dzieci, ale nie są masowe (szacuje się, że było ich kilkadziesiąt). Na razie urząd nie przeprowadził żadnej kontroli, która dotyczyłaby tego konkretnego zagadnienia. Prowadzi natomiast szeroką akcję edukacyjną w szkołach – „Twoje dane – Twoja sprawa”, w której wzięło już udział ponad 260 tys. uczniów.