Súhlas so spracovaním osobných údajov dieťaťa

Súhlas so spracovaním osobných údajov dieťaťa
Radim Kochan
Radim Kochan AKMG, s.r.o.

Právnik z advokátskej kancelárie AKMG, s.r.o, ktorý sa špecializuje na oblasť pracovného práva a práva ochrany osobných údajov. V prípade záujmu o konzultáciu ma kontaktuje e-mailom na rkochan@akmg.sk.

Zobraziť viac
Zobraziť menej

Aký je minimálny vek osoby pre udelenie súhlasu so spracúvaním osobných údajov? Môže ho udeliť aj neplnoleté dieťa?

Základné pojmy v súvislosti s ochranou osobných údajov

Skratka GDPR je už notoricky známa, ide o Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

Dotknutá osoba je fyzická osoba, ktorej osobné údaje sú spracúvané (v našom prípade pôjde o neplnoleté osoby, deti).

Prevádzkovateľ je fyzická alebo právnická osoba, ktorá osobné údaje spracúva, pričom si sama určila účel, ako aj prostriedky ich spracúvania (napr. poskytovatelia služieb, prevádzkovatelia sociálnych sietí, reklamné agentúry, zamestnávatelia).

Jednou z noviniek, ktorú Nariadenie GDPR do sveta ochrany osobných údajov prinieslo, je zvýšená ochrana neplnoletých osôb v prostredí internetu. Táto skutočnosť sa okrem iného premietla aj do článku 8 GDPR, ktorý upravuje podmienky udelenia súhlasu so spracovaním osobných údajov dieťaťom, a to v súvislosti so službami informačnej spoločnosti (tento pojem si vysvetlíme v texte nižšie).

GDRP a deti

Nariadenie GDPR vníma deti ako osobitnú rizikovú skupinu, zvlášť zraniteľnú, ktorá si zasluhuje osobitnú ochranu, pretože deti si vo všeobecnosti bývajú v menšej miere vedomé rizík, dôsledkov, dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov. Takáto osobitná ochrana by sa mala vzťahovať najmä na využívanie osobných údajov detí na účely marketingu alebo vytvorenia osobného alebo používateľského profilu a získavanie osobných údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu (recitál 38 GDPR).

Zvýšená právna ochrana dieťaťa podľa článku 8 GDPR, sa aplikuje výlučne v situáciách, kedy prevádzkovatelia spracúvajú osobné údaje detí prostredníctvom právneho základu, ktorým je ich súhlas podľa článku 6 ods. 1 písm. a) GDPR, pričom súčasne dochádza k spracúvaniu osobných údajov dieťaťa v on-line prostredí, napríklad pri využívaní sociálnych sietí alebo on-line služieb. Častokrát môže ísť o činnosti, ktoré dieťa realizuje vo svojom on-line svete, do ktorého rodičia, ako jeho zákonní zástupcovia, nemajú prístup.

GDPR neposkytuje prostriedky pre selekciu obsahu webových stránok, ktoré si neplnoleté osoby prehliadajú. Pre účelné nastavenie týchto obmedzení slúžia iné nástroje. GDPR však posilňuje právo ochrany neplnoletých osôb v kontexte využívania tzv. služieb informačnej spoločnosti a dáva do rúk rodičom pomyselný nástroj, ktorý by im mal zaručiť vedomosť o službách, ktoré deti v online svete využívajú a pri ktorých zároveň dochádza k spracúvaniu ich osobných údajov.

Čo je „služba informačnej spoločnosti“?

Služba informačnej spoločnosti je služba poskytovaná za odmenu, na diaľku, elektronickým spôsobom a na základe individuálnej žiadosti príjemcu služieb.

  • „Na diaľku“ znamená, že služba sa poskytuje bez toho, aby pri tom boli obe strany súčasne prítomné.
  • „Elektronickým spôsobom“ znamená, že služba sa z miesta pôvodu odošle a na mieste určenia prijíma prostredníctvom elektronického zariadenia a je úplne vysielaná, prenášaná a prijímaná po drôte, prostredníctvom rádiových vĺn, optickým spôsobom, alebo inými elektromagnetickými prostriedkami.
  • „Na základe individuálnej žiadosti príjemcu služieb“ znamená, že služba sa poskytuje na individuálnu žiadosť dotknutej osoby.

V praxi si pod týmto na prvý pohľad zložitým pojmom možno predstaviť napríklad:

  • elektronický obchod (elektronickú ponuku tovaru a služieb),
  • on-line reklamu,
  • on-line rezerváciu letenky u prepravcu alebo cestovnej kancelárie,
  • on-line kúpu počítačovej hry,
  • on-line objednávku občerstvenia,
  • objednávku taxislužby cez mobilnú aplikáciu,
  • vytvorenie užívateľského profilu (napr. na sociálnej sieti, u internetového predajcu a pod.)
  • marketing (napríklad zasielanie noviniek a akciových ponúk prostredníctvom e-mailu alebo SMS správ).

Správne porozumenie pojmu „služba informačnej spoločnosti“ je dôležité aj z toho dôvodu, že práve s ním je spojená jediná veková hranica, ktorú GDPR pre platnosť súhlasu vyžaduje.

Podľa článku 8 Nariadenia, ak sa uplatňuje súhlas so spracovaním osobných údajov v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu, je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil rodič, resp. nositeľ rodičovských práv a povinností.

V zmysle vyššie uvedeného môžeme konštatovať, že Nariadenie GDPR nedefinuje všeobecnú minimálnu vekovú hranicu dotknutej osoby, nevyhnutnú pre platnosť súhlasu so spracúvaním jej osobných údajov, ale definuje minimálnu vekovú hranicu osoby „len“ v súvislosti so službami informačnej spoločnosti. Túto hranicu zároveň určuje na 16 rokov veku dieťaťa.

Pre úplnosť ešte uvádzame, že táto veková hranica sa uplatňuje na území Slovenskej republiky, avšak nemusí platiť vo všetkých členských štátoch EÚ a EHP. GDPR totiž poskytuje jednotlivým členským štátom určitú mieru flexibility tým, že im umožňuje určiť aj nižšiu vekovú hranicu, potrebnú pre platnosť súhlasu v súvislosti so službami informačnej spoločnosti. Táto hranica však nemôže byť nižšia, ako 13 rokov. Slovenská republika ponechala vekovú hranicu stanovenú GDPR na 16 rokov, ale napríklad Česká republika využila možnosť jej zníženia a túto vekovú hranicu znížila na 15 rokov veku dieťaťa.

V čom spočíva zvýšená ochrana detí pri spracúvaní osobných údajov?

Článok 8 Nariadenia ďalej stanovuje, že ak má dieťa menej než 16 rokov, takéto spracúvanie jeho osobných údajov v súvislosti so službami informačnej spoločnosti je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností. V praxi to znamená, že pre platnosť súhlasu ako právneho úkonu je nevyhnutné, aby ho v mene dieťaťa urobil, alebo aspoň schválil, jeho zákonný zástupca. GDPR tak deleguje na rodičov pomerne účinný nástroj, prostredníctvom ktorého môžu rodičia získať vedomosť o službách informačnej spoločnosti, o ktoré sa ich deti zaujímajú, pričom majú reálnu možnosť ich poskytnutie dieťaťu ovplyvniť (udelením alebo neudelením súhlasu).

Aké sú povinnosti pri spracúvaní osobných údajov detí?

Zvýšená miera ochrany práv detí ako zraniteľnej skupiny, sa v praxi premietla aj do novej verifikačnej povinnosti, ktorú pre prevádzkovateľov GDPR zaviedlo. V prípadoch, keď je pre zákonnosť spracúvania osobných údajov dotknutej osoby v súvislosti s ponukou informačnej spoločnosti vyžadovaný jej súhlas, prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si v takýchto prípadoch overil, že nositeľ rodičovských práv a povinností v mene dotknutej osoby (dieťaťa) súhlas vyjadril alebo ho schválil, pričom zohľadní dostupnú technológiu.

Vzhľadom na pomerne vágne ustanovenie GDPR, ktoré túto povinnosť na prevádzkovateľov delegovalo, vzniká v praxi niekoľko sporných otázok, spojených s praktickým výkonom tejto povinnosti. Tieto otázky možno zhrnúť nasledovne:

  • čo možno považovať za „primerané úsilie“?
  • čo možno rozumieť pod pojmom „dostupná technológia“?
  • má prevádzkovateľ právo overovať aj vek dotknutej osoby, ktorá súhlas udelila?

Odpovede na tieto otázky bude závisieť od každého prípadu zvlášť. Vo všeobecnosti však možno odpovede zhrnúť nasledovne.

  • Prevádzkovateľ je oprávnený (dokonca povinný) zvoliť primerané opatrenia na overenie, či má osoba udeľujúca súhlas dostatočný vek na jeho udelenie, alebo či osoba poskytujúca súhlas v mene dieťaťa, je nositeľom rodičovských práv a povinností (nositeľom rodičovských práv a povinností môže byť nie len rodič, ale tiež poručník, opatrovník, či kolízny opatrovník).
  • Je na prevádzkovateľovi, aby určil, aké opatrenia sú v konkrétnom prípade primerané. Primeranosť opatrení však treba posúdiť s ohľadom na konkrétne riziká, spojené so spracúvaním údajov.
  • Prevádzkovatelia by sa mali vyhnúť tým spôsobom overovania údajov osôb, ktoré vedú k nadmernému získavaniu osobných údajov (Usmernenie pracovnej skupiny WP29 k súhlasu podľa nariadenia 2016/679, č. WP 259).
Článok pokračuje pod reklamou

Kedy je pre udelenie súhlasu povolený aj nižší vek ako 16 rokov?

GDPR nedefinuje všeobecnú minimálnu vekovú hranicu pre platnosť súhlasu so spracovaním osobných údajov. GDPR definuje minimálnu vekovú hranicu pre platnosť súhlasu vyžadovaného výlučne so službami informačnej spoločnosti.

V iných situáciách sa tak slovenskí prevádzkovatelia, ako aj dotknuté osoby, môžu oprieť o národnú legislatívu, ktorou je pre účely právnej spôsobilosti maloletých osôb zákon č. 40/1964 Zb. Občiansky zákonník. Práve Občiansky zákonník definuje podmienky spôsobilosti na právne úkony, ktorú fyzické osoby nadobúdajú v plnom rozsahu dovŕšením plnoletosti. Neznamená to však, že pre platnosť všetkých právnych úkonov, je bez ďalšieho vyžadovaná plnoletosť osôb, ktoré tieto úkony robia. Občiansky zákonník ďalej v § 9 jasne definuje, že aj maloleté osoby majú spôsobilosť na také právne úkony, ktoré sú svojou povahou primerané rozumovej a vôľovej vyspelosti zodpovedajúcej ich veku.

Vzhľadom k tomu, že k právnym úkonom možno zaradiť aj súhlas so spracovaním osobných údajov, uvedené v praxi znamená, že ani GDPR, ani Občiansky zákonník, explicitne nestanovujú všeobecnú minimálnu vekovú hranicu pre platnosť súhlasu ako právneho úkonu nevyhnutného pre zákonné spracúvanie osobných údajov.

Z definície Občianskeho zákonníka však zreteľne vyplýva, že táto hranica môže byť nižšia ako veková hranica plnoletosti osôb, pokiaľ je spôsob vyjadrenia súhlasu a účel, na ktorý sa poskytuje, primeraný rozumovej a vôľovej vyspelosti dotknutej osoby.

Príklad platného súhlasu so spracovaním osobných údajov po dosiahnutí 15 rokov veku

Ako príklad môžeme uviesť udelenie súhlasu so spracovaním osobných údajov v pracovnoprávnych vzťahoch (samozrejme v prípadoch, keď použitie súhlasu nevylučuje povinnosť aplikovať iný právny základ spracúvania údajov, napríklad Zákonník práce alebo predpisy sociálneho zabezpečenia). Vzhľadom k tomu, že, zjednodušene povedané, spôsobilosť byť zamestnancom (tzn. pracovnoprávnu subjektivitu), nadobúdajú fyzické osoby ukončením povinnej školskej dochádzky a dovŕšením pätnásteho roku veku (musia byť splnené obidve podmienky), je možné predpokladať, že aj udelený súhlas dieťaťa po dovŕšení pätnásteho roku veku, napríklad pre účel zverejnenia jeho fotografie na webstránke zamestnávateľa, bude platný. Podľa nášho názoru možno vychádzať z predpokladu, že osoba, ktorá je spôsobilá uvedomiť si dôsledky svojho konania ako zamestnanca (teda je spôsobilá uvedomiť si tak svoje práva, ako aj povinnosti vyplývajúce z pracovného pomeru), je rovnako spôsobilá posúdiť dôsledky svojho konania ako zamestnanca v pozícii dotknutej osoby, napríklad práve udelením súhlasu so spracúvaním jej osobných údajov.

Príklad platného súhlasu so spracovaním osobných údajov aj pred dosiahnutím 15 rokov veku

Ako ďalší príklad môžeme uviesť udelenie súhlasu so spracúvaním mena a poštovej adresy maloletej osoby pre účely zasielania reklamných (akciových) letákov hypermarketov, predajcov potravín, oblečenia, či drobnej elektroniky (napríklad mobilov). K predaju a kúpe uvedeného tovaru neplnoletými osobami dochádza s každodennou pravidelnosťou a preto možno opätovne vyvodiť záver, že pokiaľ sú tieto osoby oprávnené platne uzavrieť kúpnu zmluvu o predaji/kúpe týchto komodít, sú rovnako plne spôsobilé udeliť aj súhlas na zasielanie reklamných letákov, ktorých predmetom je práve ich ponuka.   

Kedy sa pre spracúvanie údajov vyžaduje výslovný súhlas? Aký je rozdiel medzi súhlasom a výslovným súhlasom?

Výslovný súhlas predpisy o ochrane osobných údajov vyžadujú v situáciách, kde možno predpokladať zvýšené riziko ohrozenia ochrany osobných údajov. Podľa GDPR výslovný súhlas musí byť udelený pri spracúvaní osobitných kategórií osobných údajov podľa článku 9, pri profilovaní osoby podľa článku 22, alebo pri prenose osobných údajov do tretích krajín alebo medzinárodných organizácií podľa článku 49.

Pojem „výslovný“ súhlas teda znamená, že tento musí byť daný jednoznačne a musí byť dostatočným spôsobom konkretizovaný. Takýto súhlas nie je možné odvodiť len z konania dotknutej osoby.

Príklad vyjadrenia súhlasu so spracovaním osobných údajov

Tzv. „bežný“ súhlas je udelený platne aj v prípade, ak dotknutá osoba sama nahrá svoju fotografiu na webstránku zamestnávateľa, čím vyjadrí svoj súhlas s jej zverejnením. V prípadoch, keď je Nariadením vyžadovaný výslovný súhlas, by však jeho udelenie uvedeným spôsobom postačujúce nebolo. Podmienka „výslovnosti“ súhlasu by však bola splnená, ak by dotknutá osoba udelila súhlas písomne s textáciou: „Súhlasím so zverejnením svojej fotografie na webstránke Podnikjate.sk.sk za účelom ...“. Podmienka získania výslovného súhlasu by bola splnená aj súhlasným označením (zaškrtnutím) zaškrtávacieho políčka (tzv. checkboxu) dotknutou osobou na webstránke prevádzkovateľa za predpokladu, že jeho text by jednoznačne vyjadroval súhlas.

Hoci GDPR predpokladá udelenie výslovného súhlasu v špecifických situáciách resp. tam, kde je riziko ohrozenia súkromia jednotlivca vyššie, nijakým spôsobom nelimituje jeho udelenie stanovením inej vekovej hranice, ako pri „bežnom“ súhlase. Avšak vzhľadom na charakter osobných údajov spracúvaných podľa článku 9 Nariadenia (osobitná kategória osobných údajov), pre spracúvanie ktorých sa výslovný súhlas vyžaduje, je možné v týchto prípadoch predpokladať aj vyššie nároky pre rozumovú a vôľovú vyspelosť neplnoletých osôb, udeľujúcich výslovný súhlas so spracovaním ich údajov.

Príklad súhlasu pre spracovaniu údajov o zdravotnom stave

Letecká spoločnosť poskytuje asistenčné služby osobám so zdravotným postihnutím, spočívajúce napríklad v pomoci pri preprave batožiny medzi letiskovými terminálmi, alebo v asistencii pri nástupe na palubu lietadla. Aby mohla letecká spoločnosť zvoliť vhodný typ asistenčnej služby, vyžiada si od dotknutej osoby bližšiu konkretizáciu jej zdravotného postihnutia.

Vzhľadom k tomu, že predaj letenky je viacerými leteckými spoločnosťami viazaný na 16 rokov veku osoby, je možné opätovne odvodiť, že momentom dosiahnutia rovnakého veku je táto osoba oprávnená udeliť tiež výslovný súhlas pre spracovanie jej osobných údajov o zdravotnom stave v rozsahu nevyhnutnom pre poskytnutie asistenčnej služby (teda pre naplnenie účelu, pre ktorý súhlas poskytuje). 

Zhrnutie – môže súhlas so spracovaním osobných údajov udeliť neplnoletá osoba?

GDPR, zákon o ochrane osobných údajov a ani Občiansky zákonník explicitne nestanovujú všeobecnú minimálnu vekovú hranicu dotknutej osoby podmieňujúcu platnosť súhlasu so spracúvaním jej osobných údajov. Definujú však právne východiská, z ktorých môžeme platnosť súhlasu ako právneho úkonu odvodiť. Tie možno zhrnúť nasledovne:

  1. Súhlas neplnoletej dotknutej osoby je platný v prípade, ak táto dosiahla 16 rokov veku a súhlas je udelený v súvislosti so službami informačnej spoločnosti; inak je súhlas platný iba v prípade, ak ho vyjadrí alebo schváli rodič.
  2. V ostatných prípadoch je súhlas neplnoletej osoby platný v prípade, ak jeho povaha zodpovedá rozumovej a vôľovej vyspelosti neplnoletej osoby.

Viac podobných článkov nájdete na www.podnikajte.sk

Radim Kochan
Radim Kochan AKMG, s.r.o.

Právnik z advokátskej kancelárie AKMG, s.r.o, ktorý sa špecializuje na oblasť pracovného práva a práva ochrany osobných údajov. V prípade záujmu o konzultáciu ma kontaktuje e-mailom na rkochan@akmg.sk.

Zobraziť viac
Zobraziť menej

Kontroly GDPR v roku 2020 – kto ich môže čakať?

Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.

Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)

Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?

Súhlas s používaním cookies

Súdny dvor EÚ vydal rozsudok, v ktorom naznačil, ako správne postupovať pri získavaní súhlasu užívateľov s ukladaním súborov cookies. Aké zmeny priniesol?

Je mzda osobným údajom zamestnanca?

V pracovnoprávnej oblasti sa bežne spracúvajú osobné údaje ako meno, priezvisko alebo dátum narodenia zamestnanca. Považuje sa však za osobný údaj zamestnanca aj jeho mzda?
To najlepšie z Podnikajte.sk do vašej schránky