A GDPR a gyermekek személyes adatait emelt szintű védelemben részesíti és fokozott kötelezettségeket ró azon adatkezelőkre, amelyek tevékenységük során gyermekek adatait kezelik.
A GDPR Preambulumában (38. pont) rögzíti:
A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.
Milyen konkrét rendelkezéseket tartalmaz a GDPR a gyermekek adatainak védelme érdekében?
- Az adatkezelőnek különös körültekintéssel kell eljárnia és az érdekmérlegelési tesztet elvégeznie, ha az adatkezelése jogalapjaként a jogos érdekét kívánja alkalmazni (6. cikk (1) bekezdés f) pont) és az adatkezeléssel érintettek gyermekek vagy gyermekek is vannak (lehetnek) az érintettek között.
- A Rendelet külön szabályokat tartalmaz az információs társadalommal összefüggő szolgáltatások igénybevétele során a gyermek hozzájárulására vonatkozó feltételekkel kapcsolatban (8. cikk). Eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha - főszabály szerint - a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak. Az adatkezelőnek észszerű erőfeszítéseket kell tennie, hogy ellenőrizze, miszerint a hozzájárulást valóban a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.
- A tájékoztatás nyújtása során az adatkezelőknek különösen törekedniük kell arra, hogy a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsák, ha az információ címzettje gyermek.