A GDPR egyik legfontosabb sarokpontja a gyermekek kiemelt védelemben részesítése, hiszen ők koruknál fogva kiszolgáltatottak és kevésbé tudják az adatkezelési kockázatokat felmérni.
Alapvető elvárás az adatkezelők irányába, az adatvédelmi alapelvek legszigorúbb betartása, különösen a célhoz kötöttség és a tisztességes adatkezelés, amennyiben kiskorú érintett adatait kezelik. Adatvédelmi visszaélések vagy jogsértések esetén egyértelműen súlyosbító tényező a gyermek-adatalanyok veszélyeztetése.
Bejegyzésünkben röviden bemutatjuk a GDPR gyermek-specifikus szabályait, melyekkel 10 helyen találkozunk a Rendeletben.
- Preambulum (38): A gyermekek különleges védelmét főként akkor kell szem előtt tartanunk, ha a gyermekek személyes adatait az alábbi célokra miatt fogjuk kezelni:
- marketing,
- személyi vagy felhasználói profilok létrehozása részükre,
- közvetlenül részükre nyújtott szolgáltatások igénybevétele során történő adatgyűjtés.
- Preambulum (58): „a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért”. Törekednünk kell tehát arra, hogy gyermeknek szóló tájékoztatásunkat világos és közérthető nyelven tegyük, hogy könnyen megérthessék, kerüljük a jogi nyelvet.
- Preambulum (65): Az elfeledtetéshez (törléshez) való jog különösen akkor lényeges, ha a hozzájárulást még gyermekként adta meg az érintett és így esetlegesen nem volt tökéletesen tisztában az adatkezelés kockázataival.
- Preambulum (71): Az automatizált adatkezelésen alapuló döntéshozatal egyedi ügyekben, beleértve ebbe a profilalkotást is, gyermekek esetén főszabályként tilos.
- Preambulum (75): Önmagában adatkezelési kockázatot jelent kiszolgáltatott személyek – különösen gyermekek – személyes adatainak a kezelése.
- cikk (1) f) pont: Az adatkezelés jogszerű, ha az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezt az érintett érdekei vagy jogai felülírják, különösen, ha gyermekről van szó.
- cikk: A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában az alábbiak szerint alakulnak.
- Ha az adatkezelés jogalapja az érintett hozzájárulása, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életév alatti gyermek esetén adott adatkezelési hozzájárulást a gyermek felett szülői felügyeletet gyakorló személy adja vagy engedélyezi. Itt fontos, hogy a tagállamok ebből a célból jogszabályban 16-13 év közötti életkort is megállapíthatnak, így például Ausztriában 14. életévtől, Lengyelországban, Spanyolországban 13. életévtől adhat gyermek önállóan hozzájárulást.
- Figyelembe véve az elérhető technológiát, észszerű erőfeszítést kell tennünk, hogy ilyen esetben ellenőrizzük, hogy a hozzájárulást valóban a gyermek feletti szülői felügyeleti jogot gyakorló személy adta meg, illetve engedélyezte. Itt az intézkedéseknek arányosnak kell lenniük a végzett adatkezelési tevékenységek kockázatával, alacsony kockázat esetén elég lehet a szülői email címére küldött megerősítő email is, de magasabb kockázatú esetén további intézkedésekre van szükség.
- Fontos elvárás továbbá az adatkezelőkkel szemben, hogy olyan esetekben, amikor szülői beleegyezés alapján kezdték meg a gyermek adatainak kezelését, nyomon kell követniük, hogy a gyermek mikor éri el azt a kort, amikor önállóan éri el azt a kort (hazánkban 16. életév), amikor már önállóan is megadhatja a hozzájárulását és akkor ezt a megerősítést is be kell szerezni az érintettől. Például, szülő nyitott profilt a gyermeknek egy közösségi oldalon, akkor az oldal üzemeltetőjének, az érintett gyermek 16. éves korában a gyermek hozzájárulását is be kell szereznie az adatkezelés folytatásához. Amennyiben ezt nem kapja meg, az adatkezelést azonnal meg kell szüntetnie.
- Ha egy gyermek úgy ad hozzájárulást az adatai kezeléséhez, hogy a megfelelő korhatárt (hazánkban 16. életév) még nem érte el, akkor az adatkezelés jogellenes lesz.
- cikk. (1): Az adatkezelő kötelessége a tömör, átlátható, érthető és könnyen hozzáférhető kommunikáció, különösen gyermekkorú érintett esetén.
- cikk (2) g) pont: A magatartási kódex lehetőleg tartalmazza a gyermekek tájékoztatását és védelmét, valamint a szülői felügyeletet gyakorló személy hozzájárulásának kiérésének a módját.
- cikk (1) b) pont: Az adatvédelmi felügyeleti hatóság különös figyelmet fordít a kifejezetten gyermekekre irányuló tevékenységekre.
Összefoglalva a fentieket, gyermekeket érintő személyes adatok kezelése esetén:
- figyeljünk az adatkezelés céljára, módjára és jogalapjára,
- megfelelő módon és dokumentálva szerezzük be az érintett és/vagy a törvényes képviselője hozzájárulását vagy engedélyét az adatkezelés megkezdéséhez,
- fokozottan ellenőrizzük az érintetti jogok teljesülését,
- figyeljünk a kommunikáció és a tájékoztató világos és gyermekek által is érthető szövegezésére,
- adatvédelmi hatásvizsgálat minden esetben ajánlott, a súlyos kockázatot jelentő adatkezelések esetén pedig kötelező.
Legutóbbi hozzászólások