Publicystyka - ngo.pl

RODO, a dokładnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, bardzo szczegółowo reguluje zakres praw i obowiązków dotyczących danych osobowych. Jego regulacje dotyczą zarówno osób dorosłych, jak i dzieci.

W tym artykule odpowiemy na pytanie co zrobić, aby prawidłowo i zgodnie z prawem przetwarzać dane osobowe dzieci oraz kim jest dziecko według RODO. Skupimy się na sytuacji, kiedy dane osobowe zbierane są na podstawie zgody.

Już w swojej preambule RODO wskazuje, że dane osobowe dzieci objęte zostały specjalną ochroną. Wynika to z ich mniejszej świadomości odnośnie ryzyka, konsekwencji oraz praw im przysługujących w związku z przetwarzaniem danych. Szczególnej ochronie podlegają dane przetwarzane w celach marketingowych, czy tworzenie profili użytkowników. Jednocześnie informacje i komunikaty skierowane do dzieci, powinny być sformułowane na tyle jasno i czytelnie, aby dziecko było w stanie je zrozumieć. Co prawda sama preambuła nie ma charakteru wiążącego (Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH.), jednak pozwala nam lepiej zrozumieć motywy prawodawcy i powinna być brana pod uwagę przy wykładni RODO.

RODO formułuje specjalne zasady dotyczące wieku, w którym możliwe jest wyrażenie skutecznej zgody na przetwarzanie danych osobowych. Granicą jest 16. rok życia, ale tylko w przypadku, gdy zgoda dotyczy usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.

Zgodnie z Dyrektywą 2015/1535 usługą społeczeństwa informacyjnego jest każda płatna usługa świadczona drogą elektroniczną, która została indywidualnie zamówiona przez odbiorcę. Będą to więc takie działania jak np. słuchanie muzyki za pośrednictwem aplikacji takich jak Spotify czy też założenie konta na Netflix. Ważne jest, aby zauważyć, iż do kategorii tej nie można przypisać usług mających charakter materialny. W związku z czym zakup płyty z dostawą do domu nie będzie objęty ową definicją.

Trzeba pamiętać, że polskie prawo zezwala na zawieranie niektórych typów umów osobom, które ukończyły 13 rok życia, na przykład umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego (art. 20 Kodeksu cywilnego). Jednocześnie jeżeli do wykonania takiej umowy potrzebna jest zgoda na przetwarzanie danych osobowych to będzie ona nieważna (art. 19 Kodeksu cywilnego) ze względu na opisaną wyżej granicę 16 lat.

Z usługą oferowaną bezpośrednio dziecku mamy do czynienia, kiedy oferta skierowana jest bezpośrednio do dzieci lub też łącznie do dzieci i dorosłych. Trzeba pamiętać, że pojęcie usługi społeczeństwa informacyjnego znacznie wykracza poza e-handel i obejmuje usługi informacyjne czy wyspecjalizowane porady. O tym czy oferta jest kierowana do dziecka decyduje zarówno bezpośredni komunikat zawarty na stronie, jak i kontekst. Na przykład serwis zajmujący się transmisją rozgrywek e-sportowych będzie skierowany do dzieci i dorosłych, ponieważ korzystają z niego osoby w różnym wieku. Podobnie będzie z webinaraiami kierowanymi do młodzieży, ponieważ odbiorcami mogą być zarówno osoby zdolne wyrazić zgodę, jak i takie które nie mogą skutecznie tego zrobić.

RODO stanowi, że zgoda nie musi mieć formy pisemnej. Może zostać wyrażona ustnie, drogą elektroniczną lub też poprzez określone zachowanie. W praktyce częstym sposobem uzyskiwania zgody jest kliknięcie określonego okienka wyboru na stronie internetowej. Taka forma jest uprawiona, niemniej jednak ważne jest, aby domyślnie okienko to nie było zaznaczone. To podmiot wyrażający zgodę musi podjąć działanie w tym zakresie. W tym miejscu warto zaznaczyć, iż to właśnie na Administratorze danych osobowych może ciążyć w przyszłości obowiązek wykazania, że dana osoba wyraziła zgodę.

Zgoda musi spełniać jednocześnie cztery warunki: być dobrowolna, świadoma, jednoznaczna i wskazywać cel przetwarzania danych. Dobrowolność w tym kontekście oznacza brak negatywnych konsekwencji nie wyrażenia zgody (np. uzyskanie gorszych warunków wykonywania umowy). Świadomość zawiera w sobie element wiedzy i wewnętrznego przekonania czego zgoda dotyczy. Ten element jest skorelowany z obowiązkiem informacyjnym Administratora (więcej o obowiązku informacyjnym: Organizacja zbiera dane osobowe i realizuje obowiązek informacyjny). Jednoznaczność ma nie pozostawiać wątpliwości, że została udzielona zgoda na przetwarzanie danych, natomiast cel wskazuje do czego Administrator wykorzysta dane, na których przetwarzanie się zgodziliśmy. Obowiązek udowodnienia, że zgoda została wyrażona i w jakim zakresie zawsze spoczywa na Administratorze.

Przygotowane przez NGO oświadczenie o wyrażeniu zgody powinno mieć zrozumiałą i przejrzystą dla adresata formę, wyrażoną prostym i ogólnie zrozumiałym językiem. Warto podkreślić, że RODO nakłada na nas obowiązek przekazania określonych informacji już w momencie poprzedzającym uzyskanie zgody. Do informacji tych należą tożsamość i dane kontaktowe organizacji, która zbiera dane osobowe, cele przetwarzania wraz z podstawą prawną, okres przez jaki uzyskane dane będą przetwarzane lub kryteria jego ustalenia, prawo dostępu do przekazanych danych czy też wniesienia skargi do organu nadzorczego, jak również możliwość cofnięcia zgody w każdej chwili.

Prawodawca unijny wskazuje, iż małoletni powyżej 16. roku życia uprawniony jest do samodzielnego decydowania o przetwarzaniu jego danych osobowych w związku z czym traktowany jest on niczym dorosły. RODO daje możliwość ustawodawcy krajowemu na zmianę granicy tego wieku, z zastrzeżeniem, iż musi on wynosić minimum 13 lat. W Polsce nie zdecydowano się póki co na podjęcie takich działań.

W przypadku osób poniżej 16. roku życia decyzje w ich imieniu podejmowane są przez rodzica lub też opiekuna prawnego. Zgodnie z art. 98 Kodeksu rodzinnego i opiekuńczego jeżeli dziecko pozostaje pod władzą rodzicielską obojga rodziców, każde z nich może działać samodzielnie jako przedstawiciel ustawowy dziecka, a zatem każdy z nich może samodzielnie wyrazić zgodę na przetwarzanie danych.

W tym miejscu należy zaznaczyć, iż obowiązek wyrażenia zgody przez rodzica lub opiekuna prawnego zostaje wyłączony w przypadku gdy mowa o usługach profilaktycznych czy też doradczych oferowanych bezpośrednio dzieciom. Mowa tu np. o pomocy online działającej na zasadach tzw. telefonu zaufania dla dzieci.