Hírek

Hírek

Ne őt kérdezd!

Ne őt kérdezd!


A gyermekek és az adatvédelem

A gyermekek kevésbé lehetnek tisztában azzal, hogy a személyes adataik kezelése milyen következményekkel jár, milyen jogosultságokkal rendelkeznek és milyen garanciák védik őket.

Természetes, hogy fokozottabb védelmet élveznek a személyes adataik, különösen, ha a személyes adataik felhasználásának a célja valamely marketing tevékenység, személyes vagy felhasználói profil létrehozása, vagy a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során gyűjtenek róluk adatokat. A gyerekeknek nyújtott fokozottabb védelem nem korlátozódik kizárólag ezekre a tevékenységekre, szélesebb körben értelmezhető a védelem.

Könnyen előfordulhat, hogy egy gyermek akkor adott hozzájárulást valamely személyes adatának a kezeléséhez, amikor még nem volt teljes mértékben tisztában az adatkezelés kockázataival. Életszerű, hogy később szeretné eltávolítani a róla tárolt információkat, elsősorban az internetről. Az „elfeledtetéshez” való jog erre nagyszerű lehetőséget biztosít.

 

Mikor és hogyan érvényes egy gyermek hozzájárulása a GDPR szerint?

Akkor jogszerű az adatkezelésünk, ha a közvetlenül a gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások esetén a gyermek a 16. életévét betöltötte.

Ha nem töltötte be a gyermek a 16. életévét, a hozzájárulást a szülői felügyeletet gyakorló szülő adhatja meg.

A tagállamok eltérhetnek ettől a szabályozástól, de 13. életévnél alacsonyabb életkort nem határozhatnak meg. A jelenleg hatályos nemzeti jogszabályunk összhangban a GDPR-ral a 16. életévnél húzza meg a határt. A különbség a szabályozásban annyi, hogy törvényes képviselőt ír a szülői felügyeletet gyakorló szülő helyett. A törvényes képviselő tipikusan a szülő, kivételesen a gyám.

Figyelem! A határokon átnyúló szolgáltatások esetében nem feltétlenül elegendő a hazai jog ismerete, az adatkezelő nem mindig hivatkozhat a saját tagállamának szabályaira.

NEM KELL a szülői felügyelet gyakorlójának a hozzájárulása a közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében. Ilyen szolgáltatás például az online csevegőszolgálat gyermekvédelmi célból.

A gyermek életkorának ellenőrzésére, a szülői hozzájárulás beszerzésére ésszerű erőfeszítéséket tesz az adatkezelő, figyelembe véve az elérhető technológiát.

Mit jelent az, hogy „közvetlenül a gyermeknek kínált”?

Ha egy szolgáltató egyértelművé teszi, hogy ajánlata kizárólag 18 éven felülieknek szól, és ennek nem mond ellent az ajánlat tartalma, a kapcsolódó marketing tevékenysége, akkor azt az ajánlatot nem lehet közvetlenül a gyermekek számára felajánlottnak tekinteni.

Mit jelent az információs társadalommal összefüggő szolgáltatás?

Azok a szolgáltatások, amelyeket

- elektronikus úton,

- távollévők részére,

- rendszerint ellenszolgáltatás fejében nyújtjuk

- és amelyekhez a szolgáltatás igénybe vevője egyedileg fér hozzá.

Ha egy online módon, számítógépes rendszereken keresztül végbement gazdasági vagy kereskedelmi tevékenység megfelel ezeknek a kritériumoknak, akkor ide tartozik. Például: felhő szolgáltatás igénybevétele ellenszolgáltatásért, bármilyen termék vásárlása webáruházból, online fogadási rendszer, online fizetős játékok, online színházjegy vásárlás.

Mit jelent az, hogy ésszerű erőfeszítéseket kell tennünk a szülői felügyeletet gyakorló szülő hozzájárulásának beszerzéséhez?

Ha a gyermek úgy nyilatkozik, hogy nem felel meg az életkora az előírásoknak, a személyes adatait egészen egyszerűen nem kezelhetjük, további ellenőrzés nem szükséges az életkora megállapítására.

A GDPR nem részletezi, hogyan lehet begyűjteni a szülői hozzájárulásokat. A korhatár ellenőrzés nem vezethet túlzott adatfeldolgozáshoz. Az adatminimalizálás elve követendő és célszerű a kapcsolatfelvételre összpontosítani a szülővel, vagy gondviselővel.

Az ésszerűséget, mint mértéket, az adott adatkezelés kockázata alapján lehet meghatározni. Ha a személyes adatok kezelése alacsony kockázattal jár, elegendő lehet a szülői nyilatkozatok e-mailen történő beszerzése. Alacsony kockázatú helyzetekben elfogadható továbbá az a mechanizmus, amely a születési évet kéri, ahogy egy „nem vagyok kiskorú” nyomógomb, nyilatkozat kihelyezése is.

Kétség esetén az adatkezelő dönt arról, vezet-e be további ellenőrzési mechanizmusokat. Magas kockázatú adatkezelési műveleteknél indokolt további igazolások beszerzése.

Ha például online szerencsejátékot szervez egy oldal, a lehetséges lépések a következők:

  1. nyilatkozzon a jelentkező, hogy elmúlt-e 16 éves;
  2. ha úgy nyilatkozik, nem múlt el: fel kell rá hívni a figyelmét, hogy a részvételhez szülői hozzájárulás szükséges, el kell kérni a szülő elérhetőségét (e-mail címét);
  3. a szolgáltató e-mailben megkapja a hozzájárulást és ésszerű lépéseket tesz annak megerősítésére, hogy a felnőtt elláthatja a gyermek képviseletét (Igen, jól látjátok, hogy ennek tartalma nincs kifejtve);
  4. panasz esetén a szolgáltató további lépéseket tesz az életkor ellenőrzésére.

A hogyan ellenőrizzük kérdésre alig kapunk választ az iránymutatásokból. Tegyük hozzá, hogy az adatkezelő feladata annak meghatározása, milyen megoldásokat választ az ellenőrzésre. Jelentős korlát, hogy el kell kerülni a túlzott adatgyűjtést a hitelesítés során.

Mi a megoldás azon kívül, hogy a magatartási kódexek megjelenésére várunk? A szülőkkel való kapcsolatfelvételre törekedjünk.

Lehetséges megoldások:

A Microsoft (Skype, X-box one) a szülők bankkártyáját megterheli egy minimális összeggel, vagy bekér egy hivatalos okmányt: https://support.microsoft.com/hu-hu/help/4090292

A facebook a gyermekeket így köti össze szüleikkel: https://www.facebook.com/help/321293158396473?helpref=faq_content

Mire figyeljünk az adatkezelési tájékoztatóban, ha gyermekekből áll a célközönségünk?

A gyermekek által könnyen érthető módon, világos és közérthető nyelven kell megfogalmazni a tájékoztatónkat.

Egy felelős adatkezelő ismeretekkel rendelkezik azokról az emberekről, akikről információt gyűjt és ezt a tudást tudja használni annak meghatározására, hogy a célközönség valószínűleg mit fog megérteni. Például, a munkát végző szakemberek személyes adatait gyűjtő adatkezelők feltételezhetik, hogy az ő célközönségük magasabb szintű dolgokat ért meg, mint annak az adatkezelő, aki gyermekek személyes adatát gyűjti.

Ha az adatkezelő célközönsége gyermekekből áll, illetve tudja vagy tudnia kellene, hogy a termékeit/szolgáltatásait elsősorban gyermekek használják (beleértve, ha az adatkezelő a gyermek hozzájárulására hagyatkozik), biztosítani kell, hogy a használt megfogalmazás szókincse, nyelvezete és stílusa a gyermekek számára megfelelő. Az a cél, hogy az információ címzettje, vagyis a gyermek felismerje, hogy az üzenet neki szól. Például felesleges leírni, hogy „személyes adataid”, helyette inkább az adat kategóriákra koncentráljunk: a neved, az e-mail címed. Szülői hozzájárulásnál sem célszerű azt írni, hogy a „szülői felügyeletet gyakorló szülő” e-mail címe, helyette javasolt az anyukád vagy apukád e-mail címe.

Az adatkezelők az adatvédelmi tájékoztatásokat írásban vagy MÁS módon készítik el. A „más módon” kifejezés, amely nem feltétlenül elektronikus, magában foglalja például az ábrákat, infografikákat vagy folyamatábrákat. Ha az átlátható információ címzettjei kifejezetten gyermekek, az adatkezelőknek meg kell fontolniuk, elsősorban milyen típusú eszközök lehetnek a gyermekek számára elérhetők (pl. egyéb más eszközök mellett ezek lehetnek képregények, rajzfilmek, piktogramok, animációk stb.).

A gyermekek és az átláthatóság követelménye

A gyermekek nem veszítik el az átláthatósághoz való érintetti jogaikat egyszerűen csak azért, mert a szülői felügyeleti jogokat gyakorló szülő hozzájárulást adott az adatkezeléshez. Míg sok esetben az ilyen hozzájárulást egyszeri alapon adják meg vagy járulnak hozzá, a gyermeknek (mint minden más érintettnek) folyamatosan joga van az átláthatósághoz az adatkezelővel fennálló kapcsolata során. Az adatkezelőknek biztosítaniuk kell, hogy minden információ és kommunikáció világosan és egyszerű nyelvezettel vagy a gyermekek által könnyen érthető adathordozón történjen, ha tudatában vannak, hogy a termékeiket vagy szolgáltatásaikat elsősorban az iskolás kor alatti gyermekek használják. A kétségek elkerülése érdekében ugyanakkor a nagyon fiatal vagy még nem iskoláskorú gyermekek esetében az átláthatósági intézkedéseket a szülői felügyeleti jogot gyakorló szülőknek is lehet címezni, figyelemmel arra, hogy az ilyen gyermekek a legtöbb esetben valószínűleg nem fogják érteni vagy nem értik az átláthatósággal kapcsolatos legegyszerűbb írásos formájú, vagy nem írásba foglalt üzenteket.

 

Források:

  1. az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény
  2. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) az Európai Parlament és a Tanács 2016. április 27-i (eu) 2016/679 rendelete
  3. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
  4. A 29-es Adatvédelmi Munkacsoport iránymutatása az előzetes hozzájárulásról (17/EN WP259 rev.01; legutóbbi felülvizsgálat és elfogadás időpontja: 2018. április 10.)
  5. A 29-es Adatvédelmi Munkacsoport iránymutatása az előzetes hozzájárulásról (17/EN WP260 rev.01; legutóbbi felülvizsgálat és elfogadás időpontja: 2018. április 11.)

A bejegyzéshez illusztrációként haszbált kép forrása: Schutterstock