Kedy je potrebný súhlas zákonného zástupcu (rodičovský súhlas) so spracúvaním osobných údajov detí do 16 rokov podľa GDPR a ako si udelenie takéhoto súhlasu overiť?
Kedy je potrebný súhlas zákonného zástupcu (rodičovský súhlas) so spracúvaním osobných údajov detí do 16 rokov podľa GDPR?
Spracúvanie osobných údajov detí do 16 rokov v súvislosti s ponukou niektorých elektronických služieb bude s účinnosťou GDPR, teda od 25.5.2018, legálne iba vtedy, ak k tomu udelí súhlas zákonný zástupca dieťaťa – obvykle rodič.
Prevádzkovatelia rôznych internetových portálov či mobilných aplikácií budú preto musieť vynaložiť primerané úsilie k tomu, aby si udelenie tohto súhlasu overili, ak budú zároveň splnené nasledovné podmienky:
- ten, kto osobné údaje spracúva, ponúka tzv. službu informačnej spoločnosti a
- osobné údaje návštevníkov či užívateľov vo veku do 16 rokov spracúva (v súvislosti s ponukou danej služby) na základe súhlasu.
Pokiaľ ide o prvú podmienku, za službu informačnej spoločnosti považujeme najmä predaj tovaru cez internet, zasielanie newsletteru, poskytovanie webhostingu, on-line finančných a mnohých iných služieb, ktoré sú poskytované na diaľku, elektronicky, na individuálnu žiadosť užívateľa či návštevníka a spravidla za úplatu.
Druhá podmienka sa týka prípadov, kedy užívateľ či návštevník vyjadruje súhlas so spracúvaním údajov, tj. keď k ich spracúvaniu nedochádza v rámci plnenia zmluvy.
Príklad, kedy overenie rodičovského súhlasu nie je potrebné: Prevádzkovateľ eshopu spracúva osobné údaje zákazníkov v rámci vybavovania objednávok. V takomto prípade pôjde síce o službu informačnej spoločnosti, no k spracúvaniu osobných údajov bude dochádzať na základe kúpnej zmluvy uzavretej prostredníctvom eshopu, nie na základe súhlasu zákazníka. Prevádzkovateľ eshopu preto nebude povinný zaoberať sa overovaním rodičovského súhlasu.
Príklad, kedy sa overenie rodičovského súhlasu vyžaduje: Prevádzkovateľ eshopu spracúva osobné údaje zákazníkov taktiež na marketingové účely, nie len pre účely vybavovania objednávok. Keďže takéto spracúvanie je možné iba na základe súhlasu zákazníka (obsiahnutého v samostatnom zaškrtávacom políčku) a dochádza k nemu v rámci ponuky služby informačnej spoločnosti, prevádzkovateľ eshopu sa rodičovským súhlasom bude musieť zaoberať.
Ako overiť udelenie súhlasu zákonného zástupcu (rodičovský súhlas) so spracúvaním osobných údajov detí do 16 rokov podľa GDPR?
V praxi sa len ťažko predstavuje, ako budú prevádzkovatelia internetových stránok či aplikácií overovať udelenie rodičovského súhlasu návštevníkov či užívateľov mladších než 16 rokov.
GDPR preto stanoví, že k overeniu rodičovského súhlasu je potrebné vyvinúť úsilie primerané dostupnej technológii. Možno si preto predstaviť nasledovné spôsoby, ako sa s danou povinnosťou vysporiadať:
- Prevádzkovateľ internetovej stránky či aplikácie prehlási, že ním poskytovaná služba nie je určená pre deti do 16 rokov, tj. ponuku služieb informačnej spoločnosti na túto kategóriu zákazníkov vôbec nesmeruje a povinnosť overenia rodičovského súhlasu sa ho preto vôbec netýka. Takéto prehlásenie môže byť súčasťou podmienok ochrany osobných údajov.
- Návštevník či užívateľ prehlási, že rodičovský súhlas mu bol pred odovzdaním osobných údajov udelený.
Príklad: Prevádzkovateľ eshopu v rámci objednávkového procesu používa zaškrtávacie políčko pre udelenie súhlasu so spracovaním osobných údajov zákazníkov na marketingové účely. Aby v rámci overenia rodičovského súhlasu vyvinul potrebné úsilie, ktoré je primerané jeho technickým možnostiam, text pri zaškrtávacom políčku by mohol formulovať takto: „Prehlasujem, že ak mám menej ako 16 rokov, tak som požiadal svojho zákonného zástupcu (rodiča) o súhlas so spracovaním mojich osobných údajov.“
Aká je sankcia za to, že prevádzkovateľ internetovej stránky či aplikácie si neoverí udelenie rodičovského súhlasu?
Prevádzkovateľ by mal byť schopný kedykoľvek preukázať, že skutočne vyvinul primerané úsilie k tomu, aby overil, že rodičovský súhlas so spracúvaním osobných údajov návštevníka či užívateľa do 16 rokov bol udelený.
Ak by túto povinnosť nedodržal, hrozila by mu pokuta od Úradu na ochranu osobných údajov až do výšky 10.000.000 EUR, prípadne až do výšky 2 % z celosvetového ročného obratu za posledné účtovné obdobie.
Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.
