Dane osobowe dzieci objęte zostały specjalną ochroną RODO. Organy UE wreszcie zauważyły, że ta grupa może posiadać mniejszą niż osoby dorosłe świadomość odnośnie ryzyka, konsekwencji oraz praw im przysługujących w związku z przetwarzaniem danych, a jednocześnie – że często samodzielnie korzystają one z usług społeczeństwa informacyjnego[1]. Celowe więc stało się ujednolicenie podejścia do ochrony danych osobowych dzieci w poszczególnych państwach członkowskich UE. To duże osiągnięcie. Nie ustrzeżono się jednak zapisów prawnych, które budzą spore wątpliwości lub problemy praktyczne.
16 lat, a może mniej
Obecnie, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dzieciom[2], zgodne z prawem UE jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat i wyraziło na to zgodę. W przypadku dziecka młodszego takie przetwarzanie jest możliwe wyłącznie w sytuacjach, gdy zgodę wyraziła osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem lub gdy osoba ta zaaprobowała zgodę wyrażoną przez dziecko. Unijne wytyczne pozostawiają państwom członkowskim prawo na wprowadzenie niższej granicy wiekowej w tym zakresie, jednak musi ona wynosić co najmniej 13 lat. Podany powyżej wiek 16 lat związany z możliwością samodzielnego wyrażenia zgody przez dziecko dotyczy również m.in. Chorwacji, Irlandii, Niemczech, Luksemburga, Holandii i Rumunii. W Szwecji, Portugalii i na Malcie wiek ten wynosi 13, w Austrii, Bułgarii, na Litwie i we Włoszech – 14, a w Czechach, Francji i Grecji – 15 lat.
Próg wiekowy wynikający z zapisów art. 8 ust. 1 RODO nie ma jednak zastosowania w stosunku do usług innych niż usługi społeczeństwa informacyjnego. W tym pozostałym zakresie należałoby więc bazować na zapisach Konwencji ONZ o prawach dziecka, w którym granica wiekowa ustalona została na 18 lat[3] oraz na przepisach obowiązujących w poszczególnych państwach członkowskich UE dotyczących skuteczności wyrażania zgody przez osoby niepełnoletnie. Ten dualizm regulacji może potencjalnie powodować nieporozumienia i skutkować brakiem należytego zabezpieczenia praw dzieci-podmiotów danych.
Ustalenie kto daje zgodę
Zgodnie z RODO, administrator danych obowiązany jest dołożyć wszelkich rozsądnych starań, z uwzględnieniem dostępnej technologii, aby zweryfikować, czy faktycznie rodzic lub też opiekun prawny wyraził zgodę lub też ją zaaprobował, jeżeli jest to wymagane ze względu na wiek dziecka. Prawodawca nie wskazał jednak sposobu, w jaki miałaby następować taka weryfikacja. Takie potwierdzenie może teoretycznie nastąpić np. poprzez rozmowę telefoniczną czy też wysłany e-mail. W praktyce to pierwsze rozwiązanie jest rzadko używane (być może dlatego, że wiązałoby się z koniecznością pozyskiwania dodatkowej danej osobowej wyłącznie dla potrzeb dokonywania weryfikacji), a to drugie nie zapewnia żadnych gwarancji udzielenia zgody przez uprawnioną osobę. Dodatkową kwestią dotyczącą zgody jest to, czy możliwe jest rozpoczęcie świadczenia usługi dziecku w okresie oczekiwania na „zaaprobowanie” przetwarzania jego danych przez dorosłego.
Do tego dochodzi dodatkowe utrudnienie wynikające z faktu, że art. 8 RODO nie wyłącza stosowania ogólnych przepisów prawa umów państw członkowskich, takich jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka. W konsekwencji, na dostawcy usługi społeczeństwa informacyjnego ciąży obowiązek ustalenia, jakiemu prawu podlega odbiorca danych usług, a w związku z tym, czy i kiedy jest wymagana „kontrasygnata” dorosłego opiekuna.
Co z tą klauzulą informacyjną?
Praktyczną konsekwencją odwołania do przepisów prawa lokalnego w zakresie tak przetwarzania danych osobowych dzieci, jak i konieczności uzyskania zgody bądź potwierdzenia zgody dziecka przez opiekuna, będzie też wykonanie obowiązku informacyjnego w sposób dostosowany do możliwości poznawczych młodego odbiorcy. Art. 7 RODO nakazuje formułowanie zapytania o zgodę w formie zrozumiałej, jasnym i przystępnym językiem. Dodatkowo, jak wyjaśniono w Transparency Gudeliness (Wytycznych dotyczących transparentności) wydanych przez Grupę Roboczą Art. 29, dzieci nie tracą swoich praw do transparencji jako podmioty danych tylko dlatego, że zgodę w ich imieniu wyraża rodzic lub opiekun. W związku z tym obowiązek udzielania informacji o celach i zakresie przetwarzania danych osobowych ma szczególne znaczenie w przypadku usług kierowanych do dzieci. Tym samym, treść klauzuli informacyjnej związanej z przetwarzaniem danych osobowych dziecka powinna być zrozumiała również z perspektywy dziecka. Ważne, że mówimy tu o prawie podmiotu danych, tj. również dziecka, które nie osiągnęło jeszcze 13 lat.
Prawo do ochrony danych a inne prawa dziecka
Można się też zastanawiać, czy ustawiona domyślnie na 16 lat granica, od której dziecko może samodzielnie wyrażać zgodę na przetwarzanie jego danych osobowych, nie narusza wynikającego z Konwencji ONZ prawa dziecka do dostępu do informacji, wyrażania swoich poglądów i uczestniczenia w procesach decyzyjnych lub prawa do nauki i rozwoju. Zasada prawna z art. 8 ust. 1 RODO w praktyce ograniczać może przecież osobom młodszym niż 16 lat uczestniczenie w wielu działaniach w Internecie.
Niewątpliwie RODO uprzywilejowuje rodziców i opiekunów prawnych w zakresie dawania zgody w imieniu małoletnich. Nie ma jednak gwarancji, że każdy rodzic posiada odpowiednią wiedzę, aby taką zgodę udzielić świadomie. Nie każdy rozumie media społecznościowe oraz zna przepisy prawa związane z przetwarzaniem danych osobowych. Można nawet zaryzykować tezę, że przynajmniej w części przypadków wiedza rodzica związana z korzyściami, ale i zagrożeniami związanymi z przetwarzaniem danych w Internecie, może być mniejsza niż wiedza jego nastoletniego dziecka. Najwyraźniej nie wzięto też pod uwagę sytuacji, w których opiekunowie nie chcą wspierać rozwoju intelektualnego swoich dzieci w takich obszarach jak zaangażowanie obywatelskie (w tym ochrona środowiska) lub edukacja seksualna.
Ze względu na brak odpowiednich analiz nie można jednak na ten moment ustalić, na ile przyjęty próg wiekowy zapewnia równowagę między potencjalnymi szkodami związanymi z wykorzystywaniem danych osobowych z jednej strony a prawami dziecka z drugiej. Być może częściowym remedium na powyższe byłoby zapewnienie np. nauczycielom lub organizacjom pozarządowym możliwości samodzielnego udostępniania dzieciom narzędzi społeczeństwa informacyjnego.
Jak „poprawić” RODO?
Po wejściu w życie RODO szybko okazało się, że regulacja ta stanowi nie tylko ogromny sukces w budowaniu powszechnego systemu ochrony danych osobowych, ale też jest dużym wyzwaniem implementacyjnym, między innymi w zakresie ochrony danych osobowych dzieci. Nie dziwi więc, że powszechne stały się inicjatywy służące uzupełnieniu czy usprawnieniu działaniu RODO w najbardziej kluczowych obszarach.
Przykładowo, już w listopadzie 2020 delegacje Państw-Stron Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych zdecydowały o przyjęciu Wytycznych dotyczących ochrony danych dzieci w środowisku edukacyjnym[4]. Dokument ten wyjaśnia kwestie związane z realizacją podstawowych praw dziecka w placówkach edukacyjnych w kontekście ochrony danych osobowych. Co istotne, w ocenie autorów Wytycznych, prawo do prywatności i ochrony danych osobowych są prawami komplementarnymi w stosunku do innych praw podstawowych dziecka, takich jak:
- najlepszy interes dziecka,
- prawo do bycia wysłuchanym
- prawo do niedyskryminacji.
Dodatkowo, część krajowych organów ochrony danych osobowych, takich jak brytyjskie ICO, francuski CNIL czy irlandzki DPC, wydało szczegółowe zalecenia dotyczące ochrony prywatności dzieci, oparte na wieloletnich badaniach naukowych, analizach prawnych i konsultacjach społecznych (w tym konsultacjach z dziećmi). Wygląda więc na to, że unijne państwa próbują „oddolnie” wyrównać przynajmniej część niedoskonałości legislacyjnych RODO. Przyszłość pokaże jednak, czy podejmowanie takich lokalnych lub sektorowych inicjatyw nie stanie w sprzeczności z jednym z podstawowych celów RODO, tj. ustanowieniem jednolitego systemu ochrony praw związanych z przetwarzaniem danych osobowych w całej Unii Europejskiej.
[1] Usługą społeczeństwa informacyjnego jest każda płatna usługa świadczona drogą elektroniczną, która została indywidualnie zamówiona przez odbiorcę. Będą to więc takie działania jak np. słuchanie muzyki za pośrednictwem aplikacji (m.in. SoundCloud, Spotify, TuneIn Radio) czy korzystanie z biblioteki filmów (np. Netflix, Polsat Box GO, Disney Plus, Player). Pojęcie usługi społeczeństwa informacyjnego znacznie wykracza poza e-handel i obejmuje usługi informacyjne czy wyspecjalizowane porady. Może nią być również umożliwienie bezpłatnego dostępu do portalu społecznościowego czy poczty elektronicznej.
[2] Z usługą oferowaną bezpośrednio dzieciom będziemy mieć do czynienia zarówno w przypadku, gdy oferta skierowana jest bezpośrednio do dzieci, ale też wtedy, gdy odbiorcami usługi są zarówno dzieci jak i dorośli. O tym czy oferta jest kierowana do dziecka, decydować będzie zarówno sama jej treść, jak i kontekst, w którym oferta jest składana, czy choćby podejmowane działania marketingowe. Przykładowo, serwisy zawierające biblioteki filmów stanowić będą najczęściej usługę skierowaną zarówno do dzieci, jak i dorosłych, ponieważ korzystają z nich osoby w różnym wieku.
[3] Konwencja o prawach dziecka przyjęta przez Zgromadzenie ogólne ONZ 20.11.1989, art. 1, https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU19911200526/O/D19910526.pdf
