W jednej z opisanych niedawno w „Biuletynie UODO”1 decyzji Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia administratorowi za naruszenie przepisów dotyczących przetwarzania danych osobowych. Sprawa była o tyle ciekawa, że pojawia się w niej wątek przetwarzania danych osobowych osoby niepełnoletniej.
O co chodziło w sprawie?
Administrator – podmiot prowadzący szkołę językową – postanowił zareklamować swoje usługi w ten sposób, że wręczył uczniom jednej ze szkół podstawowych (za zgodą jej dyrekcji), formularz kontaktowy z prośbą o jego wypełnienie przez dzieci. W formularzu tym dzieci miały wskazać swoje imię i nazwisko, swój numer telefonu, numer telefonu rodzica oraz klasę, do której uczęszczają. Po jego wypełnieniu przez uczniów, szkoła językowa kontaktowała się telefonicznie z rodzicem w celu przedstawienia oferty kursów językowych. Jeden z rodziców zainteresował się tym, skąd posiada ona jego dane i złożył skargę do Prezesa UODO twierdząc, że szkoła naruszyła przepisy regulujące zasady przetwarzania danych osobowych, w tym przypadku zarówno danych dotyczących dziecka, jak i rodzica.
Prezes UODO przyznał rację skarżącemu. Zauważył, że w opisanej sprawie administrator nie dysponował żadną przesłanką legalizującą przetwarzanie danych osobowych dziecka oraz jego rodzica. Wbrew temu, co podnosił administrator, nie mógł on ważnie uzyskać zgody dziecka na przetwarzanie jego danych osobowych, ponieważ nie ukończyło ono jeszcze 16 lat, a tym bardziej nie mogło ono w imieniu rodzica wyrazić zgody na przetwarzanie danych dotyczących rodzica. Ponadto, Prezes UODO zauważył, że administrator nieprawidłowo wykonał spoczywający na nim obowiązek informacyjny (art. 13 i 14 RODO) wobec osób, których dane osobowe przetwarzał, m. in. dlatego, że klauzulę informacyjną przeznaczoną dla rodzica wręczył dziecku do przekazania rodzicowi.
Ochrona danych osobowych dzieci
Na kanwie tej sprawy warto zwrócić uwagę na kwestię zasad przetwarzania danych osobowych dzieci. Samo RODO w paru miejscach podkreśla konieczność szczególnego podejścia do tej sprawy, jak np. w motywie 35 preambuły, gdzie wskazano następująco:
Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.
RODO w odniesieniu do dzieci podwyższa także standardy dotyczące języka komunikacji z nimi w sprawach związanych z przetwarzaniem ich danych, wymagając aby wszelkie kierowane do nich informacje czy komunikaty były formułowane prostym, przystępnym dla nich językiem.
Jeżeli przetwarzanie danych osobowych dziecka w konkretnym przypadku ma się odbywać na podstawie zgody dziecka – administrator zawsze musi się zastanowić, czy z uwagi na jego wiek, zgoda taka będzie udzielona w sposób ważny?
RODO w art. 8 reguluje wprost tylko kwestie przetwarzania danych osobowych na podstawie zgody w kontekście usług społeczeństwa informacyjnego (czyli usług oferowanych elektronicznie, na odległość, za odpłatnością i na indywidualne żądanie odbiorcy) oferowanych bezpośrednio dziecku. W tym przypadku zgodne z prawem jest przetwarzanie danych dziecka na podstawie jego zgody, jeżeli ukończyło ono 16 lat – poniżej tej granicy wymagana jest zgoda rodzica lub przedstawiciela ustawowego dziecka albo potwierdzenie przez nich zgody udzielonej przez dziecko. RODO pozwala przy tym państwom członkowskim na obniżenie granicy wieku ale maksymalnie do 13 lat (Polska z takiej możliwości nie skorzystała).
W szerszym kontekście przetwarzania danych dzieci (czyli w zakresie niezwiązanym z oferowaniem usług społeczeństwa informacyjnego), w przypadku gdyby jedyną wchodzącą w grę przesłanką uzasadniającą przetwarzanie danych osobowych była zgoda dziecka – należy brać pod uwagę ustalone w danym kraju przepisy prawa cywilnego pozwalające na ważne jej wyrażenie przez osobę niepełnoletnią.
Czy tzw. klauzula prawnie usprawiedliwionego celu pozwala na przetwarzanie danych osobowych dzieci?
Jedną z przesłanek uchylających zakaz przetwarzania danych osobowych, jakie określa RODO, jest m. in. niezbędność ich przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Przesłanka ta jednak nie wchodzi w grę m. in. w odniesieniu do przetwarzania danych szczególnej kategorii, przetwarzania przez organy publiczne w ramach ich zadań, a także w sytuacji, w której nadrzędny charakter wobec tych interesów realizowanych przez administratora lub stronę trzecią mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Literalnie więc odczytując przepis – omawiana przesłanka nie może uzasadniać przetwarzania danych osobowych dzieci.
Wyżej jedynie zarysowaliśmy złożoną problematykę przetwarzania danych osobowych osób niepełnoletnich – bez wątpienia jednak przepisy stawiają w takich przypadkach administratorom poprzeczkę naprawdę wysoko.