Komentarz do art. 8 | RODO komentarz

Przejdź do treści

RODO – komentarz

Na bieżąco aktualizowany komentarz do ogólnego rozporządzenia o ochronie danych. 
Piszemy tylko o tym, co ważne w praktyce.

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

  • RODO wprowadza szczególne zasady dotyczące ochrony danych osobowych dzieci. Art. 8 RODO jest jednym z takich przepisów – wprowadza on dodatkowe obowiązki mające na celu ochronę danych dzieci w związku z tzw. usługami społeczeństwa informacyjnego.
  • Art. 8 RODO znajdzie zastosowanie w odniesieniu do przetwarzania danych osobowych dziecka na podstawie zgody, które jest prowadzone w ramach usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.
  • Do najczęstszych praktycznych sytuacji, w których może dochodzić do oferowania i świadczenia usług społeczeństwa informacyjnego bezpośrednio dziecku, będzie dochodziło, jak się wydaje, w ramach świadczenia przez internet usług takich jak dostęp do gier czy aplikacji przeznaczonych do zabawy lub nauki, udostępnianie aplikacji mobilnych z grami lub podobnymi treściami przeznaczonymi dla dzieci.
  • Jeśli dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych w powyższym kontekście będzie zgodne z prawem wyłącznie w przypadkach, gdy zgodę na przetwarzanie danych osobowych dziecka wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej lub zaaprobowanej przez taką osobę zgody.

RODO wprowadza szczególne regulacje, które odnoszą się do przetwarzania danych osobowych dzieci. Już w preambule możemy znaleźć między innymi następujące odniesienia do tej kwestii:

  • Motyw 38 RODO. Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.
  • Motyw 58 RODO. Zważywszy, że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

RODO w kilku miejscach odnosi się do przetwarzania danych osobowych dzieci. Art. 8 RODO jest jednym z takich przepisów. Wprowadza on dodatkowe obowiązki mające na celu ochronę danych dzieci w związku z usługami społeczeństwa informacyjnego.

Jakiego rodzaju przetwarzania danych dotyczy art. 8?

Art. 8 RODO dotyczy przetwarzania danych osobowych dziecka, które jest jednocześnie:

  • prowadzone na podstawie art. 6 ust. 1 lit. a), a więc sytuacji, w których przetwarzanie danych osobowych dziecka oparte jest na zgodzie na przetwarzanie danych osobowych, oraz
  • prowadzone w ramach tzw. usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku.

Przepis ten nie dotyczy więc między innymi sytuacji, w których przetwarzanie danych może być oparte o inną przesłankę wynikającą z art. 6 RODO, np. art. 6 ust. 1 lit. b) (niezbędność do wykonania i/lub zawarcia umowy). Jeśli jednak administrator postanowi przetwarzać dane osobowe dziecka w kontekście świadczonej na jego rzecz usługi społeczeństwa informacyjnego w oparciu o przesłankę niezbędności do wykonania umowy, musi wziąć pod uwagę okoliczność, że dzieci mają ograniczoną zdolność do czynności prawnych, tj. mogą zawierać samodzielnie i we własnym imieniu umowy tylko w wyjątkowych okolicznościach. Jeśli więc dziecko – zgodnie z prawem, które ma zastosowanie do danej usługi – nie może zawrzeć ważnej umowy z administratorem, niezbędność w celu wykonania umowy nie będzie stanowić przesłanki przetwarzania danych osobowych takiego dziecka (chyba że umowa zostanie odpowiednio potwierdzona/zawarta w imieniu dziecka przez opiekuna prawnego dziecka zgodnie z właściwymi przepisami).

Przepis nie dotyczy także usługi społeczeństwa informacyjnego, która nie jest oferowana bezpośrednio dziecku. Zgodnie z wytycznymi 05/2020:

(…) jeżeli dostawca usług społeczeństwa informacyjnego wyraźnie poinformuje potencjalnych użytkowników, że oferuje swoją usługę wyłącznie osobom, które skończyły 18 lat, i jeżeli inne dowody nie wskazują inaczej (np. treść strony lub plany marketingowe), wówczas usługa nie zostanie uznana za „oferowaną bezpośrednio dziecku”, a przepisy art. 8 nie będą miały zastosowania.

Czym są usługi społeczeństwa informacyjnego?

Zgodnie z art. 4 pkt 25) RODO „usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535.

Zgodnie z tym przepisem:

„usługa” oznacza każdą usługę społeczeństwa informacyjnego, to znaczy każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektronicznąna indywidualne żądanie odbiorcy usług.

Do celów niniejszej definicji:

(i) „na odległość” oznacza, że usługa świadczona jest bez równoczesnej obecności stron;

(ii) „drogą elektroniczną” oznacza, iż usługa jest wysyłana i odbierana w miejscu przeznaczenia za pomocą sprzętu elektronicznego do przetwarzania (włącznie z kompresją cyfrową) oraz przechowywania danych, i która jest całkowicie przesyłana, kierowana i otrzymywana za pomocą kabla, fal radiowych, środków optycznych lub innych środków elektromagnetycznych;

(iii) „na indywidualne żądanie odbiorcy usług” oznacza, że usługa świadczona jest poprzez przesyłanie danych na indywidualne żądanie.

Przykładowy wykaz usług nieobjętych niniejszą definicją został określony w załączniku I;

Określenie, czy dana usługa stanowi usługę społeczeństwa informacyjnego, może w praktyce nastręczać wielu trudności. Z pewną pomocą przychodzi załącznik I do wspomnianej dyrektywy, który wskazuje przykłady usług, które takiej usługi nie stanowią:

1.  Usługi, które nie są świadczone „na odległość”

Usługi świadczone w fizycznej obecności dostawcy i odbiorcy, nawet jeżeli są związane z wykorzystaniem z urządzeń elektronicznych:

  1. badanie lekarskie lub wykonywanie zabiegów w gabinecie lekarskim z zastosowaniem sprzętu elektronicznego, przy fizycznej obecności pacjenta;
  2. wgląd do elektronicznego katalogu w sklepie przy fizycznej obecności klienta;
  3. rezerwacja biletu lotniczego w biurze podróży przy fizycznej obecności klienta za pomocą sieci komputerowej;
  4. udostępnienie gier elektronicznych w salonie przy fizycznej obecności użytkownika.
     

2. Usługi, które nie są świadczone „drogą elektroniczną”

– Usługi o charakterze materialnym, nawet jeżeli świadczone są z wykorzystaniem urządzeń elektronicznych:

  1. dystrybucja banknotów i biletów przez automaty (banknoty, bilety kolejowe);
  2. dostęp do płatnych dróg, parkingów itp., nawet jeżeli przy wjeździe lub wyjeździe funkcje kontroli wjazdu lub uiszczenia należności sprawują urządzenia elektroniczne,


– Usługi „off-line”: dystrybucja CD-ROM-ów lub oprogramowania na dyskietkach,

– Usługi, które nie są świadczone z wykorzystaniem elektronicznego systemu przetwarzania i przechowywania danych:

  1. usługi telefonii głosowej;
  2. usługi telefaksowe/teleksowe;
  3. usługi świadczone przez telefonię głosową lub telefaksem;
  4. telefoniczne/telefaksowe porady lekarskie;
  5. telefoniczne/telefaksowe porady prawne;
  6. telefoniczny/telefaksowy marketing bezpośredni.


3. Usługi, które nie są świadczone „na indywidualne żądanie odbiorcy usług”

Usługi świadczone w formie przesyłania danych bez indywidualnego zamówienia i przeznaczone do równoczesnego odbioru przez nieograniczoną liczbę odbiorców (transmisja z „punktu do wielu punktów”):

  1. usługi rozpowszechniania telewizyjnego (włącznie z usługami sekwencyjnego udostępniania audycji), określone w art. 1 ust. 1 lit. e) dyrektywy 2010/13/UE [dyrektywa o audiowizualnych usługach medialnych – przyp. red.];
  2. usługi przesyłania sygnału radiowego;
  3. teletekst (telewizyjny).

Do najczęstszych praktycznych sytuacji, w których może dochodzić do oferowania i świadczenia usług społeczeństwa informacyjnego bezpośrednio dziecku, będzie dochodziło, jak się wydaje, w ramach świadczenia przez internet usług takich jak dostęp do gier czy aplikacji przeznaczonych do zabawy lub nauki, udostępnianie aplikacji mobilnych z grami lub podobnymi treściami przeznaczonymi dla dzieci.

Co w przypadku, gdy spełnione są przesłanki z art. 8 RODO?

Jeśli administrator stwierdzi, że w odniesieniu do prowadzonego lub planowanego przez niego przetwarzania danych osobowych spełnione są przesłanki z art. 8 RODO, czyli będzie dochodziło do przetwarzania danych osobowych dziecka w oparciu o zgodę na przetwarzanie danych osobowych, w związku z usługami społeczeństwa informacyjnego oferowanymi bezpośrednio dziecku, to zgodne z prawem w takim kontekście, bez konieczności spełnienia dodatkowych wymogów, będzie przetwarzanie danych osobowych dziecka, które ukończyło 16 lat.

Jeśli natomiast dziecko nie ukończyło 16 lat, przetwarzanie danych osobowych w powyższym kontekście będzie zgodne z prawem wyłącznie w przypadkach, gdy zgodę na przetwarzanie danych osobowych dziecka wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie zgody wyrażonej lub zaaprobowanej przez taką osobę. Zgodnie z RODO w takich okolicznościach administrator, uwzględniając dostępną technologię, zobowiązany jest podjąć rozsądne starania, aby zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

Czy należy weryfikować wiek dziecka?

Czy powyższe oznacza, że administrator zobowiązany jest do weryfikacji wieku? Zgodnie z wytycznymi 05/2020:

Świadcząc dzieciom usługi społeczeństwa informacyjnego na podstawie zgody, administratorzy powinni podjąć rozsądne starania, by zweryfikować, czy użytkownik osiągnął wiek uprawniający do wyrażenia zgody drogą elektroniczną, przy czym starania te powinny być proporcjonalne do charakteru czynności przetwarzania i związanego z nimi ryzyka. Jeżeli użytkownicy oświadczą, że są w wieku uprawniającym do wyrażenia zgody drogą elektroniczną, wówczas administrator może podjąć właściwe czynności kontrolne, by zweryfikować, czy te oświadczenia są prawdziwe. Chociaż w RODO nie wskazano wyraźnie konieczności podjęcia rozsądnych starań w celu zweryfikowania wieku, jest to w sposób dorozumiany wymagane, ponieważ jeżeli dziecko wyrazi zgodę, a nie osiągnęło wystarczającego wieku, aby udzielić ważnej zgody we własnym imieniu, taka czynność sprawi, to spowoduje to niezgodność z prawem przetwarzania danych. Jeżeli użytkownik oświadczy, że nie osiągnął wieku uprawniającego do wyrażenia zgody drogą cyfrową, administrator może przyjąć takie oświadczenie bez konieczności podejmowania dalszych działań kontrolnych, ale będzie musiał przejść do uzyskania zgody rodzica lub opiekuna i zweryfikować, że osoba udzielająca takiej zgody sprawuje władzę rodzicielską lub opiekę nad dzieckiem. Weryfikacja wieku nie powinna prowadzić do nadmiernego przetwarzania danych. Mechanizm wybrany do weryfikacji wieku osoby, której dane dotyczą, powinien obejmować ocenę ryzyka związanego z proponowanym przetwarzaniem. 

RODO nie wskazuje, w jaki sposób wiek dziecka miałby być weryfikowany, decyzja w tym zakresie należy więc do administratora. Jako przykład metody weryfikacji wieku wytyczne wskazują (w pewnych sytuacjach niskiego ryzyka) zobowiązanie do ujawnienia roku urodzenia lub wypełnienia formularza z oświadczeniem, że dana osoba (nie) jest osobą małoletnią. Wytyczne wskazują jednak, że nie zawsze to rozwiązanie jest pozbawione wad.

Metoda weryfikacji powinna niewątpliwie zostać dostosowana do poziomu ryzyka w danych okolicznościach oraz nie powinna prowadzić do gromadzenia danych nadmiarowych. Wskazane jest również, by administrator, dla celów zasady rozliczalności, uzasadnił i udokumentował uzasadnienie adekwatności zastosowanych metod weryfikacji.

Jak weryfikować, czy osoba wyrażająca zgodę sprawuje władzę rodzicielską lub opiekę nad dzieckiem?

Jeśli dziecko nie ukończyło 16 lat, przetwarzanie jego danych osobowych na podstawie art. 8 RODO będzie zgodne z prawem wyłącznie w przypadkach, gdy zgodę na przetwarzanie danych osobowych wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej lub zaaprobowanej zgody. Administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Również w tym przypadku RODO nie określa, w jaki sposób weryfikacja ma nastąpić. Wybór sposobu należy więc do administratora. W jaki więc sposób zweryfikować, że zgoda została udzielona przez taką osobę?

EROD:

  • zaleca przyjęcie proporcjonalnego podejścia, które mogłoby polegać na dążeniu do uzyskania ograniczonej ilości informacji, takich jak dane kontaktowe rodzica lub opiekuna; powinno się unikać weryfikacji, która sama w sobie wymaga nadmiernego zbierania danych osobowych,
  • zwraca uwagę, że działania mogą zależeć od ryzyka, które jest związane z danym przetwarzaniem oraz od dostępnej technologii,
  • wskazuje, że w sytuacjach niskiego ryzyka wystarczające może być zweryfikowanie posiadania władzy rodzicielskiej za pośrednictwem poczty elektronicznej,
  • wskazuje, że w sytuacjach wysokiego ryzyka właściwe może być poproszenie o więcej dowodów (np. rodzic lub opiekun zostanie poproszony o dokonanie płatności w wysokości 0,01 EUR na rzecz administratora za pomocą przelewu bankowego oraz  o potwierdzenie w opisie transakcji, że posiadacz rachunku bankowego sprawuje władzę rodzicielską lub opiekę nad daną osobą),
  • zwraca uwagę, że administrator musi poinformować dziecko o możliwości wycofania zgody po osiągnięciu wieku uprawniającego do wyrażenia zgody drogą elektroniczną.

Irlandzki organ nadzorczy jako odniesienie wskazuje między innymi następujące metody, które Federalna Komisja Handlu w USA zatwierdziła jako metody wypełniania podobnych obowiązków:

  • podpisanie formularza zgody i przesłanie go do organizacji faksem, pocztą lub skanem elektronicznym,
  • korzystanie z karty kredytowej, karty debetowej lub innego systemu płatności online, który zapewnia posiadaczowi konta powiadomienie o każdej oddzielnej transakcji,
  • zadzwonienie pod bezpłatny numer obsługiwany przez przeszkolony personel,
  • połączenie się z przeszkolonym personelem za pośrednictwem wideokonferencji.
  • udzielenie odpowiedzi na serię pytań, na które trudno byłoby odpowiedzieć komuś innemu niż rodzic.

Metoda weryfikacji powinna niewątpliwie zostać dostosowana do poziomu ryzyka w danych okolicznościach oraz nie powinna prowadzić do gromadzenia danych nadmiarowych. Wskazane jest również, by administrator, dla celów zasady rozliczalności, uzasadnił i udokumentował uzasadnienie adekwatności zastosowanych metod weryfikacji.

Czy państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową?

Tak, jednak ta granica wiekowa musi wynosić co najmniej 13 lat. Polska nie przewidziała niższej granicy wiekowej, a więc w Polsce zastosowanie znajdzie granica wiekowa 16 lat.

Od czego zacząć?

Wbrew pozorom zapewnienie zgodności z wymogami art. 8 RODO może nastręczać wiele trudności. Biorąc pod uwagę, że RODO identyfikuje dzieci jako podmioty wymagające szczególnej ochrony, administratorzy, którzy planują przetwarzanie tego rodzaju danych, powinni zapewnić, że wdrożyli środki ukierunkowane na ich odpowiednią ochronę.

Punktem wyjścia może (a w niektórych przypadkach powinno) być przeprowadzenie oceny skutków dla ochrony danych zgodnie z art. 35 RODO. Ocena ta pozwoli w odpowiedni sposób zidentyfikować i zaadresować ryzyka związane z projektowanym funkcjonowaniem danego rozwiązania/usługi, w szczególności w celu odpowiedniej realizacji zasad przetwarzania wynikających z RODO, w tym legalności przetwarzania, transparentności, privacy by defaultby design.