Згода на обробку персональних даних дитини

Юрист юридичної фірми BOOM & SMART Словаччина, яка спеціалізується в галузі трудового права та законодавства про захист персональних даних. Якщо ви зацікавлені в консультації, зв’яжіться зі мною електронною поштою за адресою [email protected]

Який мінімальний вік дає людині згоду на обробку персональних даних? Він також може бути наданий неповнолітній дитині?

Основні поняття, пов’язані із захистом персональних даних

Коротко GDPR вже відомий Регламентом (ЄС) 2016/679 Європейського Парламенту та Ради про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, що скасовує Директиву 95/46/ЄС (Загальні Положення про захист даних).

Зацікавлена ​​особа є фізичною особою, особисті дані якої обробляються (у нашому випадку це будуть неповнолітні, діти).

Оператор є фізичною або юридичною особою, яка обробляє персональні дані, одночасно визначаючи мету, а також способи їх обробки (наприклад, постачальники послуг, оператори соціальних мереж, рекламні агенції, роботодавці).

Одним із нововведень, яке Положення GDPR внесло у світ захисту персональних даних, є посилений захист неповнолітніх в Інтернет-середовищі. Це було відображено, зокрема, у статті 8 GDPR, яка регулює умови надання згоди на обробку персональних даних дитиною, у зв'язку з послуги інформаційного суспільства (ми пояснимо це поняття в тексті нижче).

ГДРП та діти

Регламент GDPR сприймає дітей як особливу групу ризику, особливо вразливу, яка заслуговує на особливий захист, оскільки діти, як правило, менш обізнані про ризики, наслідки, задіяні гарантії та свої права щодо обробки персональних даних. Такий спеціальний захист повинен поширюватися, зокрема, на використання особистих даних дітей у маркетингових цілях або на створення особистого профілю або профілю користувача та збір персональних даних дітей при користуванні послугами, що надаються безпосередньо дитині (стаття 38 GDPR).

Посилений правовий захист дитини згідно зі статтею 8 GDPR застосовується лише у ситуаціях, коли контролери обробляють персональні дані дітей на законних підставах, що є їх згодою відповідно до статті 6 (1). 1 лист (a) GDPR, одночасно обробляючи особисті дані дитини в Інтернеті, наприклад, під час користування соціальними мережами або онлайн-сервісами. Це може бути діяльність, яку дитина здійснює у своєму Інтернет-світі, до якої батьки, як її/її законні опікуни, не мають доступу.

GDPR не надає засобів для вибору вмісту веб-сайтів, які переглядають неповнолітні. Для ефективного встановлення цих обмежень використовуються інші інструменти. Однак GDPR посилює право на захист неповнолітніх у контексті використання т.зв. послуги інформаційного суспільства та надає батькам уявний інструмент, який повинен гарантувати їм знання про послуги, якими користуються діти в Інтернет-світі та в яких одночасно обробляються їхні персональні дані.

Що таке "послуга інформаційного суспільства"?

Послуга інформаційного суспільства - це послуга, що надається за окрему плату, дистанційно, в електронному вигляді та на підставі індивідуального запиту одержувача послуг.

• „Nі відстань " означає, що послуга надається без присутності обох сторін одночасно.
• "За допомогою електронних засобів" означає, що послуга відправляється з місця походження та отримується в місці призначення за допомогою електронного пристрою і повністю передається, передається та приймається по дроту, за допомогою радіохвиль, оптичних засобів або інших електромагнітних засобів.
• "За індивідуальним запитом одержувача послуг" означає, що послуга надається на індивідуальний запит відповідної особи.

На практиці за цією, здавалося б, складною концепцією можна уявити, наприклад:

• електронна комерція (електронна пропозиція товарів та послуг),
• Інтернет-реклама,
• онлайн бронювання квитків у перевізника або туристичної агенції,
• купити комп'ютерну гру онлайн,
• замовити закуски в Інтернеті,
• замовити послугу таксі через мобільний додаток,
• створення профілю користувача (наприклад, у соціальній мережі, в Інтернет-магазині тощо)
• маркетинг (наприклад, надсилання новин та спеціальних пропозицій електронною поштою або SMS-повідомленнями).

Правильне розуміння терміна "послуга інформаційного суспільства" також важливе, оскільки воно пов'язане з ним одноразова вікова межа, вимагається GDPR для дійсності згоди.

Відповідно до статті 8 Регламенту, якщо згода на обробку персональних даних застосовується у зв'язку з пропозицією послуг інформаційного суспільства, адресованих безпосередньо дитині, обробка персональних даних дитини є законною лише у випадку, якщо дитині виповнилося 16 років. років. Якщо дитині не виповнилося 16 років, така обробка є законною лише за тих умов і в тій мірі, в якій така згода була висловлена ​​або схвалена батьками, відповідно. власник батьківської відповідальності.

У світлі вищесказаного, ми можемо стверджувати, що Регламент GDPR не визначає загальний мінімальний вік необхідний для дійсності згоди на обробку його персональних даних, але визначає мінімальний вік "лише" люди стосовно послуг інформаційного суспільства. Він також встановлює цю межу у віці 16 років.

Для повноти ми також заявляємо, що ця вікова межа застосовується на території Словацької Республіки, але може застосовуватися не в усіх країнах-членах ЄС та ЄЕЗ. GDPR насправді, це надає окремим державам-членам певну гнучкість, дозволяючи їм дозволяє вказати нижню вікову межу, необхідні для дійсності згоди щодо послуг інформаційного суспільства. Однак це межа не може бути менше 13 років. Словацька Республіка дотримала вікового обмеження, встановленого GDPR, 16 років, але, наприклад, Чеська Республіка скористалася можливістю зменшити його і зменшила цей вік до 15 років дитини.

Який підвищений захист дітей при обробці персональних даних?

Стаття 8 Регламенту також передбачає, що якщо дитина не досягла 16-річного віку, така обробка її персональних даних у зв'язку з послугами інформаційного суспільства є законною лише на тих умовах і в тій мірі, в якій така згода була висловлена ​​або схвалена власником батьківської відповідальності. На практиці це означає, що для того, щоб згода мала силу як правовий акт, законний представник дитини повинен це зробити або, принаймні, затвердити від імені дитини. Таким чином, GDPR делегує батькам відносно ефективний інструмент, за допомогою якого батьки можуть отримати знання про послуги інформаційного суспільства, що цікавлять їхніх дітей, маючи при цьому реальну можливість впливати на їх надання дитині (шляхом надання чи ненадання згоди).

Які зобов’язання при обробці персональних даних дітей?

На практиці підвищений рівень захисту прав дітей як вразливої ​​групи також був відображений у новому зобов'язанні щодо перевірки, яке воно запровадило для операторів GDPR. У випадках, коли законність обробки персональних даних суб'єкта даних у зв'язку з пропозицією інформаційного товариства вимагає його згоди, контролер зобов'язаний докласти розумних зусиль для перевірки у таких випадках, що власник батьківської відповідальності від імені відповідної особи (дитини) дав свою згоду або схвалив її, беручи до уваги доступна технологія.

З огляду на відносно невизначене положення GDPR, яке делегувало цей обов'язок операторам, на практиці виникає ряд спірних питань, пов'язаних з практичним виконанням цього зобов'язання. Ці питання можна узагальнити наступним чином:

• що можна вважати "розумними зусиллями"?
• що можна розуміти під терміном "доступна технологія"?
• оператор також має право перевірити вік відповідної особи, яка дала згоду?

Відповіді на ці запитання залежатимуть від кожного конкретного випадку. Однак загалом відповіді можна узагальнити наступним чином.

• Оператор має право (навіть зобов’язаний) обрати відповідні заходи для перевірки того, чи особа, яка дає згоду, має достатній вік для її надання, або особа, яка дає згоду від імені дитини, є власником батьківських прав (носієм батьківських прав може бути не тільки батько, але й опікун, опікун або опікун конфлікту).
• Оператор повинен визначити, які заходи підходять у конкретному випадку. Однак адекватність заходів потрібно оцінювати з урахуванням конкретних ризиків, пов'язаних з обробкою даних.
• Таким чином, операторам слід уникати перевірки даних осіб, що призводять до надмірного збору персональних даних (Керівництво Робочої групи WP29 для отримання згоди згідно Регламенту 2016/679, No WP 259).
  

Коли дозвіл дозволено менше 16 років?

GDPR не визначає загальний мінімальний вік для дійсності згоди на обробку персональних даних. GDPR визначає мінімальний вік для дії чинної згоди виключно з послугами інформаційного суспільства.

В інших ситуаціях як словацькі оператори, так і зацікавлені особи можуть покладатися на національне законодавство, яке для цілей правоздатності неповнолітніх є Законом №. 40/1964 зб. Цивільний кодекс. Цивільний кодекс визначає умови правоздатності, які набувають фізичні особи в повному обсязі досягнення повноліття. Однак це не означає, що для дії всіх правових актів необхідна більшість осіб, які здійснюють ці дії. Цивільний кодекс також чітко визначає в § 9, що i неповнолітні мають здатність здійснювати юридичні дії, які за своїм характером пропорційні інтелектуальній та добровільній зрілості, що відповідає їх віку.

Враховуючи, що законодавчі акти можуть включати згоду на обробку персональних даних, зазначене на практиці означає, що ні те, ні інше Ні GDPR, ні Цивільний кодекс прямо не встановлюють загальний мінімальний вік для дії згоди як правовий акт, необхідний для законної обробки персональних даних.

Однак із визначення Цивільного кодексу видно, що ця межа може бути нижчою за вік повноліття, за умови, що спосіб висловлення згоди та мета, з якою вона дається, відповідають інтелектуальній та добровільній зрілості відповідної особи.

Приклад дійсної згоди на обробку персональних даних після досягнення 15-річного віку

Прикладом може бути надання згоди на обробку персональних даних у трудових відносинах (звичайно, у випадках, коли використання згоди не виключає обов'язку застосовувати іншу правову основу для обробки даних, таку як Трудовий кодекс чи правила соціального забезпечення ). Враховуючи, що, простіше кажучи, здатність бути працівником (тобто суб’єкт трудової діяльності) фізичні особи набувають після закінчення обов’язкового шкільного навчання та досягнення віку п’ятнадцяти років (обидві умови повинні бути виконані), можна припустити, що згода дитини дійсним буде досягнення 15-річного віку, наприклад з метою опублікування його фотографії на веб-сайті роботодавця. На наш погляд, можна припустити, що особа, яка здатна усвідомлювати наслідки своїх дій як працівник (тобто здатна знати як про свої права, так і про обов’язки, що випливають із трудових відносин), однаковою мірою компетентний оцінювати наслідки своїх дій як працівник на посаді суб’єкта даних, наприклад, даючи згоду на обробку його персональних даних.

Приклад дійсної згоди на обробку персональних даних навіть до досягнення 15-річного віку

Інший приклад - згода на обробку імені та поштової адреси неповнолітнього з метою розсилки рекламних (фондових) флаєрів до гіпермаркетів, продуктових магазинів, одягу або дрібної електроніки (наприклад, мобільних телефонів). Продаж та придбання цих товарів неповнолітніми здійснюється щодня, і тому можна зробити висновок, що якщо ці особи мають право дійсного укласти договір купівлі-продажу купівлі-продажу цих товарів, вони однаково повно мають право на дати згоду на розсилку рекламних листівок - це лише їх пропозиція.

Коли потрібна явна згода на обробку даних? У чому різниця між згодою та явною згодою?

Правила захисту персональних даних вимагають явної згоди в ситуаціях, коли можна очікувати підвищений ризик загрози захисту персональних даних. Відповідно до GDPR, явна згода повинна бути надана на обробку певних категорій персональних даних згідно зі статтею 9, на профілювання особи згідно зі статтею 22 або на передачу персональних даних третім країнам або міжнародним організаціям згідно зі статтею 49.

Отже, термін „явна” згода означає, що він повинен даватися однозначно і повинен бути достатньо конкретизованим. Така згода не може бути виведена виключно з поведінки відповідної особи.

Приклад висловлення згоди на обробку персональних даних

Так звані "Звичайна" згода є дійсною, навіть якщо зацікавлена ​​особа завантажує свою фотографію на веб-сайт роботодавця, висловлюючи тим самим свою згоду на її публікацію. Однак у випадках, коли Регламент вимагає явної згоди, надання його таким чином буде недостатнім. Однак умова "вимови" згоди буде виконана, якби зацікавлена ​​особа дала свою згоду письмово на текст: "Я погоджуюсь на публікацію моєї фотографії на веб-сайті Podnikjate.sk.sk з цією метою. “. Умові отримання явної згоди також відповідало б позначення згоди (галочка) прапорця (так званий прапорець) зацікавленою особою на веб-сайті оператора, за умови, що в її тексті чітко висловлюється згода.

Хоча GDPR передбачає надання явної згоди у конкретних ситуаціях, відповідно. там, де ризик загрози приватному життю особи вищий, він жодним чином не обмежує його надання шляхом встановлення іншої вікової межі, ніж за "звичайною" згодою. Однак через характер персональних даних, що обробляються відповідно до статті 9 Регламенту (спеціальна категорія персональних даних), на які потрібна явна згода, у цих випадках можна очікувати вищих вимог щодо інтелектуальної та добровільної зрілості неповнолітніх, які дають явну згоду на обробка їх даних.

Приклад згоди на обробку медичних даних

Авіакомпанія надає допомогу людям з обмеженими можливостями, наприклад, допомогу в перевезенні багажу між терміналами аеропорту або допомогу в посадці на літак. Для того, щоб авіакомпанія могла обрати відповідний вид служби допомоги, вона попросить відповідну особу вказати свою інвалідність.

Враховуючи, що продаж авіаквитка прив'язаний до віку людини кількома авіакомпаніями, можна зробити висновок, що після досягнення того самого віку особа також має право дати чітку згоду на обробку своїх персональних даних про здоров’я необхідні для надання допомоги. послуг (тобто для виконання мети, на яку надається згода).

Короткий зміст - згоду на обробку персональних даних може дати неповнолітня особа?

GDPR, Закон про захист персональних даних та Цивільний кодекс чітко не встановлюють загального мінімального вікового обмеження для суб'єкта даних, який обумовлює дійсність згоди на обробку його персональних даних. Однак вони визначають правову основу, з якої ми можемо вивести дійсність згоди як правовий акт. Вони можуть бути узагальнені наступним чином:

1. Згода зацікавленої неповнолітньої є дійсною, якщо вона досягла 16-річного віку і згода дається стосовно послуг інформаційного суспільства; в іншому випадку, згода дійсна лише в тому випадку, якщо вона висловлена ​​або схвалена батьками.
2. В інших випадках згода неповнолітнього є дійсною, якщо її характер відповідає інтелектуальній та добровільній зрілості неповнолітнього.

• Згода на обробку персональних даних Здорова дієта для вас
• У материнстві легко забути, що вам три. Як народження дитини вплине на ваші стосунки Дія мам
• Перше усиновлення дитини гомосексуальною парою відбулося в Німеччині
• Переїзд за кордон та влаштування дитини до школи - Синій Кінь
• Згода на робочу поїздку Форум роботи