GDPR

Adatvédelem mindenkinek / Data protection for everyone

A gyermekek adatainak védelme a GDPR alapján

2018. március 12. 11:30 - poklaszlo

A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.

A GDPR Preambulumában (38. pont) rögzíti:

A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?

  • Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
  • A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
  • A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.

Milyen korhatárt állapítanak meg az egyes tagállamok a gyermekek hozzájárulásával kapcsolatban?

Ahogy fentebb említettem, a Rendelet lehetőséget biztosít a tagállamoknak arra, hogy 16. életévnél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort állapítsanak meg korhatárként. Néhány tagállam él is ezzel a lehetőséggel. A jelenleg elérhető információk alapján az egyes tagállamok a következők szerint állapítják meg a korhatárt:

16. életév: Hollandia, Litvánia, Luxemburg, Magyarország, Németország

14. életév: Ausztria

13. életév: Cseh Köztársaság, Belgium, Dánia, Egyesült Királyság, Írország, Lengyelország, Spanyolország, Svédország.

Jól látható, hogy a tagállamok egy része a Rendeletben meghatározott 16. életévet alkalmazza, a tagállamok másik jelentősebb csoportja pedig leszállítja az életkori határt a minimumra. A köztes megoldások kevésbé jellemzőek.

Mi történik akkor, ha egy adatkezelő több tagállam területére irányulóan is kínál közvetlenül gyermekeknek  információs társadalommal összefüggő szolgáltatásokat?

A kérdés akkor lehet különösen releváns, ha a szolgáltatással érintett tagállamokban eltérő korhatár alkalmazandó. A 29-es Cikk szerinti Munkacsoport (WP29) hozzájárulással kapcsolatos iránymutatása egyértelművé teszi, hogy az adatkezelőnek a különböző tagállami rendelkezéseket figyelembe kell vennie és nem a határon átnyúló szolgáltatások esetén nem hagyatkozhat kizárólag a tevékenységi központja szerinti tagállam által meghatározott korhatárra. (Egy olyan esetben tehát, ha a tevékenységi központ szerinti tagállamban 13. életév a korhatár, de egy másik tagállamban, ahová a szolgáltatás irányul magasabb a korhatár, mondjuk a 16. életév, akkor az adatkezelőnek ez utóbbi tagállam esetében meg kell felelnie ennek a követelménynek és a 13. és 16. életévük között lévő gyermekek esetében a törvényes képviselő beleegyezését is be kell szerezniük.)

Mit kell tenniük az adatkezelőknek annak érdekében, hogy meggyőződjenek a szolgáltatásukat igénybe vevők koráról, illetve, hogy beszerezzék a szülői beleegyezést? 

A hozzájárulással kapcsolatos iránymutatás alapján az adatkezelőknek "ésszerű erőfeszítéseket" kell tenniük, hogy meggyőződjenek a hozzájárulást adó személy életkoráról. Az intézkedéseknek arányosnak kell lenniük a végzett adatkezelési tevékenységek kockázatával. Ha a gyermek úgy ad hozzájárulást, hogy a megfelelő korhatárt még nem érte el, akkor az adatkezelés jogellenes lesz.

Azokban az esetekben, amikor szülői beleegyezés beszerzésére is szükség van, az adatkezelőknek törekedniük kell arra, hogy a lehető legkevesebb adatot kezeljék (adattakarékosság elve). Különbséget kell tenni az "alacsony kockázatú" és a "magas kockázatú" esetek között és a kockázati szinthez kell igazítani a szükséges lépések szintjét (pl. egy alacsony kockázatú esetben elég lehet  a szülő email címére küldött megerősítő email, míg magasabb kockázatú esetben, további intézkedések és validáció lehet szükséges).

A WP29 iránymutatása szerint az is elvárás az adatkezelőkkel szemben, hogy olyan esetekben, amikor még szülői beleegyezéshez kötött hozzájárulás alapján kezelik az adatokat, nyomon kövessék, hogy az érintett gyermek mikor éri el azt a kort, amikor önállóan is megadhatja a hozzájárulását és ekkor ezt a megerősítést be is kell szerezniük tőlük.

Milyen módon kell az adatkezelésről információkat nyújtani a gyermekek részére?

A Rendelet Preambulumának 58. pontja szerint "a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért." A WP29 átláthatóságra vonatkozó iránymutatása az ENSZ Gyermekjogi Egyezményét gyermek-barát módon bemutató tájékoztatóját hozza követendő példaként.     

A gyermekek adatainak GDPR-ral összhangban történő kezeléséhez segítséget nyújthat a brit adatvédelmi hatóság (ICO) által 2017. december 21-én véleményezésre közzétett iránymutatás ("Children and the GDPR guidance") is. Az alábbiakban - a fentiekben ismertetett kérdéseken túl - csak néhány fontosabb pontot emelek ki az ICO iránymutatásából: 

  • A gyermekeket különösen védelemben kell részesíteni, ha a személyes adataikat marketing célra vagy profil alkotása érdekében kívánják felhasználni. 
  • A kizárólag automatizált döntéshozatal főszabály szerint kerülendő gyermekek esetében, ha ez joghatással járna vagy hasonlóképpen jelentős mértékben érintené a gyermekeket
  • A gyermekeket is megilletik az érintetti jogok, amelyeket a Rendelet meghatároz. 
  • Az érintett törléshez való joga különösen fontos olyan esetekben, amikor a hozzájárulást még gyermekként adták meg az adatkezeléshez.