Reminder: Nu orice site ce prelucrează date personale va trebui să verifice vârsta vizitatorilor

Solicitarea acordului parental pentru folosirea serviciilor online, atunci când este vorba de copii care încă n-au împlinit 16 ani, este o obligație prevăzută de Regulamentul general privind protecția datelor (GDPR). Actul normativ european se va aplica, de la data de 25 mai 2018, inclusiv în România, fără să fie necesară vreo formalitate din partea autorităților autohtone.

Într-un articol recent am explicat că verificarea vârstei vizitatorilor va fi obligatorie pentru site-urile care folosesc cookie-uri de profilare publicitară (în ideea că cookie-urile sunt considerate date personale). Însă trebuie subliniat că nu orice site care prelucrează datele personale ale vizitatorilor va avea obligația de a solicita acordul parental pentru copiii sub 16 ani.

„Mai întâi trebuie clarificat temeiul prelucrării pentru fiecare tip de prelucrare de date. Articolul 8 din GDPR specifică în mod clar că, acolo unde temeiul prelucrării este consimțământul (art. 6 alin. 1 lit. a din GDPR), dacă serviciile societății informaționale sunt oferite în mod direct unui copil, atunci prelucrarea datelor personale ale copilului sub 16 ani (sau de vârstă mai mică stabilită la nivel național, dacă este cazul) este legală numai dacă există acordul unui părinte. Numai acolo unde temeiul prelucrării de date este consimțământul acesta trebuie dat de părinte în locul copilului, ceea ce necesită verificarea vârstei. Acesta este cazul pentru cookie-uri, unde legea specială cere consimțământ. Dar pentru prelucrările de date al căror temei este altul (executarea unui contract, obligație legală, interes legitim), nu se pune problema verificării vârstei din punct de vedere al legalității prelucrării datelor personale”, a lămurit, la solicitarea redacției noastre, Andreea Lisievici, avocat la PrivacyOne.

Totuși, dacă este în discuție un interes legitim al site-ului pentru prelucrarea datelor personale, este necesară o analiză comparativă pentru a vedea dacă nu cumva se încalcă anumite drepturi fundamentale ale persoanelor vizate de colectarea informațiilor.

„Este important de menționat însă că folosirea interesului legitim ca temei al prelucrării nu se poate face decât dacă interesul prevalează asupra drepturilor persoanelor vizate, ceea ce necesită în toate cazurile o analiză comparativă între interesul operatorului (site-ul, în cazul nostru - n. red.) și drepturile afectate ale persoanelor vizate (vizitatorii site-ului, în cazul nostru - n. red.). Pentru situația în care persoanele vizate sunt copii, această analiză trebuie să ia în calcul în mod specific acest aspect”, a punctat Andreea Lisievici.

Din 25 mai 2018, copiii sub 16 ani vor avea nevoie de acordul părinților pentru a folosi orice fel de serviciu online ce presupune prelucrarea datelor personale. De exemplu, reglementarea din GDPR acoperă folosirea rețelelor sociale (Facebook, Hi5 etc.) sau a magazinelor online, dar este vorba și de aplicațiile de mesagerie instantă (WhatsApp, Google Hangouts etc.) sau serviciile de e-mail cu stocare în cloud (Gmail, Outlook etc.).