04.11.2019

On-line souhlas dítěte a podmínky jeho použití

Děti zasluhují vyšší míru ochrany, jelikož si mohou být méně vědomy rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. Proto obecné nařízení GDPR vytváří další vrstvu ochrany, pokud jsou zpracovávány osobní údaje dětí.

Ta se vztahuje zejména na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.

Souhlas dítěte v souvislosti se službami informační společnosti – „on-line souhlas“.

Podle článku 8 obecného nařízení GDPR může dítě udělit souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti od 16 roku věku, pokud si jednotlivé členské státy nestanoví zákonem věk nižší. Česká republika využila této možnosti a snížila věk na 15 let (§ 7 zákona č. 110/2019 Sb., o zpracování osobních údajů). Je-li tedy dítě mladší než 15 let, musí tento souhlas schválit nebo vyjádřit osoba, která vykonává k dítěti rodičovskou zodpovědnost. Zde je třeba upozornit na to, že se skutečně jedná pouze o souhlas související s nabídkou informační společnosti, pro který se vžilo označení „on-line souhlas“ nebo také „digitální souhlas“. V ostatních případech se postupuje podle předpisů stanovujících požadavky na věk při jednání člověka (§ 31 zákona č. 89/2012 Sb., občanský zákoník). Pokud správce oslovuje s nabídkou děti, musí věnovat zvláštní pozornost formě, jakou je informuje o zpracování jejich osobních údajů. Informace musí být sdělena srozumitelně, v jazyce, který je pro děti jasný a jednoduchý. Pokud má souhlas udělit rodič, měl by dostat takové informace, které mu umožní přijmout informované rozhodnutí.

Co se rozumí „službou informační společnosti“?

Jedná se o jakoukoliv službu informační společnosti, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb.

Pro účely této definice se rozumí:

službou poskytovanou na dálku - služba poskytovaná bez současné přítomnosti stran,

službou poskytovanou elektronicky - služba odeslaná z výchozího místa a přijatá v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat a jako celek odeslaná, přenesená nebo přijatá drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky,

službou poskytovanou na individuální žádost příjemce služeb - služba poskytovaná přenosem dat na individuální žádost.

Ověření věku uživatele ze strany správce

Pokud správce poskytuje služby informační společnosti dětem na základě souhlasu, bude se od něj očekávat, že vynaloží přiměřené úsilí, aby ověřil, že je uživatel starší, než je nezbytné pro „on-line souhlas“., tzn., že je mu víc jak 15 let. Opatření, která k tomu využije, by měla být přiměřená povaze a rizikům činností zpracování. Pro ověření věku může správce provádět vhodné kontroly, aby zjistil, že je toto prohlášení pravdivé. Obecné nařízení GDPR sice výslovně neukládá správci, aby přiměřené úsilí vyvinul, ale toto zjištění je nezbytné, protože pokud dítě souhlas poskytne, ale nemá dostatečný věk na udělení platného souhlasu svým jménem, pak je takové zpracování osobních údajů protiprávní. Oproti tomu, uvádí-li uživatel, že nedosáhl věku digitálního souhlasu, pak může správce toto prohlášení přijmout bez další kontroly, ale bude muset dále usilovat o získání souhlasu rodičů (zákonných zástupců) a ověřit, že osoba, která tento souhlas udělila, vykonává rodičovskou zodpovědnost.

Souhlas osoby vykonávající rodičovskou zodpovědnost

V souladu se zásadou minimalizace je vhodné zaujmout přiměřený přístup, tzn. například získat omezený objem informací, jako jsou kontaktní údaje rodiče či zákonného zástupce. V případech s nízkým rizikem může být dostatečné ověření rodičovské zodpovědnosti pomocí e-mailu. V případech s vysokým rizikem je třeba požádat o více důkazů tak, aby byl správce schopen ověřit a uchovávat informace o souhlasu.

Souhlas rodiče nebo zákonného zástupce není nutný v případě preventivních či poradenských služeb nabízených přímo dětem. Předchozí souhlas rodičů tak nebude vyžadovat například poskytování služeb ochrany dětí nabízených dětem on-line prostřednictvím on-line chatových služeb atp.

Platnost souhlasu

Jakmile dítě dosáhne věku pro udělení digitálního souhlasu, může souhlas udělený nebo schválený rodičem či zákonným zástupcem samo odvolat, změnit nebo potvrdit. Správce ho musí o této skutečnosti informovat v souladu se zásadou korektnosti a odpovědnosti. Pokud však dítě neučiní žádný aktivní projev, zůstane původní souhlas schválený rodičem v platnosti i nadále a pro správce je platným základem pro zpracování osobních údajů.

Pokud vás tato problematika zaujala, pak podrobnější výklad naleznete v kapitole 7. 1. v Pokynech WP29 pro souhlas podle nařízení 2016/679 přijatých dne 28. listopadu 2017 v revidovaném znění přijatém dne 10. dubna 2018:

 

Zdroj: Pokyny WP29 pro souhlas podle nařízení 2016/679 přijaté dne 28. listopadu 2017 v revidovaném znění přijatém dne 10. dubna 2018