A gyermekeket érintően megvalósuló adatkezelések fokozott kockázatot jelenthetnek, hiszen a gyermekek, mint az adatkezelés érintettjei tipikusan kevésbé lehetnek azon információk birtokában, amelyek az őket érintő adatkezelés esetleges kockázatainak felméréséhez és ezek kezeléséhez szükségesek. Erre is tekintettel a gyermekek személyes adatait a GDPR fokozott védelemben részesíti. (A GDPR vonatkozó rendelkezéseiről itt írtam korábban.)

Az elmúlt időszakban a GDPR gyermekek adatainak kezelésére történő alkalmazása révén egyre több esetben rajzolódik ki, hogy milyen elvárásoknak kell az adatkezelőknek a gyakorlatban megfelelniük, ha gyermekek adatait kezelik. Több konkrét jogeset, iránymutatás, illetve lezárt vagy folyamatban lévő hatósági intézkedés is jelzi a téma fontosságát. Lássunk ezek közül néhányat!

1. A TikTok-ra kiszabott bírság

A sor elejér kívánkozik, egyrészt aktualitása, másrészt a bírság nagyságrendje miatt is, az ír adatvédelmi hatóság (DPC) által - az Európai Adatvédelmi Testület (EDBP) döntése nyomán - a TikTok jogellenes adatkezelési gyakorlatát megállapító és erre tekintettel az adatkezelőt 345 millió eurós bírsággal sújtó határozata. A vizsgálat a 13 és 17 év közötti gyermekek adatainak kezelésére vonatkozott és a TikTok 2020. július 31. és december 31. közötti adatkezelési gyakorlatát érintette.  

A DPC határozata - többek között - az alábbi, a gyermekek adatait érintő jogsértéseket állapította meg: 

• a gyermekek profiljának alapbeállítása nyilvános volt (azaz a gyermekek által közzétett posztokat alapból mindenki láthatta), 
• a profilok nyilvános alapbeállítása a 13 év alatti gyermekek esetében is kockázatokat hordozott (elvileg a regisztráció alsó korhatára 13 év volt, de természetesen nem szűrhető ki teljes biztonsággal, hogy ezen életkor alattiak is regisztráljanak a platformon), 
• a gyermekek nem kaptak kellően transzparens tájékoztatást,
• a közösségi média platform olyan sötét mintázatokat (dark patterns) alkalmazott, amelyek a személyes adatok védelme szempontjából kevésbé biztonságos (invazívabb) megoldások választására ösztönöztek (a Testület a döntéséről kiadott közleményben is kitér ezen sötét mintázatokra, különös tekintettel a regisztrációs és a videók posztolására ösztönző felugró ablakok kialakítása kapcsán), 
• az ún. "Family Pairing" funkció kapcsán - a megfelelő ellenőrzés hiányában - olyan esetekben is lehetővé válhatott a közvetlen üzenetküldés, amikor a szülői, gondviselői kapcsolat nem állt fenn, így a gyermekek ki voltak téve az arra nem jogosultaktól érkező üzeneteknek (amelyek számos visszaélés lehetőségét hordozhatják). 

A GDPR alábbi cikkeinek a megsértését álapította meg a DPC: 5. cikk (1) bekezdés a) pont ("jogszerűség, tisztességes eljárás és átláthatóság"), c) pont ("adattakarékosság") és f) pont ("integritás és bizalmas jelleg"), 12. cikk (1) bekezdés (transzparencia), 13. cikk (1) bekezdés e) pont (tájékoztatás, címzettekre vonatkozó információk), továbbá 24. cikk (1) bekezdés (adatkezelő feladatai) és 25. cikk (1)-(2) bekezdések (beépített és alapértelmezett adatvédelem). 

Az ír hatóság által közzétett alábbi ábra jól összefoglalja az üggyel kapcsolatos legfontosabb információkat:   

Az Európai Adatvédelmi Testület azt is hangsúlyozta, hogy az életkor ellenőrzésre kialakított megoldás (age verification) nem volt kellően hatékony és alkalmas arra, hogy a 13 év alattiakat kiszűrje a regisztráció során. 

(További összefoglaló a döntésről elérhető itt, rövid összefoglaló a NAIH honlapján magyarul pedig itt.) 

2. Generatív MI és a gyermekek adatai  

A holland adatvédelmi hatóság (Autoriteit Persoonsgegevens; AP) bejelentette, hogy kiemelt figyelemmel vizsgálja a generatív mesterséges intelligencia megoldásokat alkalmazó adatkezelőket, különös tekintettel a gyermekek adatainak kezelésére. 

A közeljövőben több intézkedés is várható a hatóságtól e körben, ugyanakkor jelenleg is folyamatban vannak vizsgálatok olyan - a gyermekek körében népszerű - alkalmazás tekintetében, amely generatív MI megoldást alkalmazó chatbot-ot tartalmaz. A holland hatóság felhívja a figyelmet, hogy a gyermekek fokozottan kitettek az adatvédelmi kockázatoknak e körben is, így a transzparencia kiemelten fontos (pl. atekintetben, hogy a chatbot használata során a gyermekek tudják, nem egy élő személlyel kerülnek kapcsolatba). 

3. Szülői felelősség

A gyermekekre könnyen jelenthet vesélyt az is, ha a gyermekek adatait, gyakran a gyermekekről készült fényképeket a szülők, más hozzátartozók osztják meg meggondolatlanul, esetleg a kelleténél jóval szélesebb körben. A gyermekek adatainak túlzott, tipikusan az online térben (közösségi médiában) megvalósuló megosztása széles körben ismert jelenség (külön kifejezést is kapott angolul, ez a "sharenting").  

Az ír adatvédelmi hatóság - a szeptemberi tanévkezdés kapcsán - éppen erre a jelenségre hívta fel a figyelmet. Néhány egyszerű szabály figyelembe vétele mellett a gyermekekre leselkedő veszélyek jelentősen csökkenthetők: 

• az adatok túl széles körű megosztása kerülendő (pl. minél kevesebb a gyermek, illetve iskolájának  konkrét beazonosítására alkalmas információt érdemes megosztani),
• egyes részletek elhomályosítása, illetve a helymeghatározási adatok rögzítésének kikapcsolása, törlése, 
• a gyermekeknek is legyen beleszólása a saját adatuk (fénykép) megosztásába, ha nem konfortosoak vele, nem kerüljenek a képek közzétételre, 
• érdemes ellenőrizni a profilbeállításokat és a az adatokhoz hozzáférők körét, hogy tényleg azok férjenek hozzá az adatokhoz, képekhez, akiknek a szülő szánja. 

(Érdekes hír - szintén Írországból -, hogy a gyermekeknek szervezett fociligában való regisztrációhoz személyigazolvány másolatot, fényképet, stb. kellett a szülőknek feltölteni, és amelyik klubnál ennek nem tettek eleget, azt a klubot a bajnokságot szervező szövetség nem engedte indulni a bajnokságban. Az ír adatvédelmi hatóság is foglalkozik az üggyel.)

4. Adatok megosztása a gyermekek védelme érdekében

Az érme másik oldalára irányítja rá a figyelmet az angol adatvédelmi hatóság (ICO) közleménye, amely szerint a gyermekek adatait kezelő adatkezelők "nem kerülnek bajba", ha a gyermekekre leselkedő veszély esetén - természetesen a megfelelő keretek között és szabályok betartása mellett - eleget tesznek a gyermekek adatainak megosztására vonatkozó kötelezettségeiknek. Az ICO egy 10 lépésből álló útmutatót is közzétett, hogy segítse a döntés meghozatalát, miszerint a gyermeket érintő veszélyre tekintettel a gyermek adata továbbítható-e vagy sem és ha igen, akkor milyen feltételekkel.    

(Az ICO egyébként is elég aktív a gyermekek adatainak kezelése körében készülő útmutatók tekintetében. Ezek itt böngészhetők.)