GDPR și datele personale ale copiilor: Cinci aspecte de luat în seamă când prelucrezi astfel de date

Aceștia reprezintă o categorie vulnerabilă de persoane vizate de prelucrări, ceea ce reclamă și măsuri croite pentru protejarea lor. Toate cerințele din GDPR care sunt valabile pentru datele adulților sunt valabile și pentru ale copiilor, dar cu unele note suplimentare.

"Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor (...) Întrucât copiiii necesită o protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui să fie exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință", scrie în preambulul prevederilor din GDPR.

Într-un ghid destul de cuprinzător cu privire la prelucrarea datelor personale ale celor mici, autoritatea britanică de protecția datelor (ICO) oferă numeroase sfaturi firmelor și altor operatori ce lucrează cu date ale minorilor (ne-am fi uitat la autoritatea română după sfaturi, dar nu a propus până acum niciun astfel de material de ajutor). Iată câteva idei de reținut:

1. Temeiurile prelucrării datelor personale ale celor mici

Oricare dintre temeiurile prevăzute de GDPR poate fi folosit și în cazul copiilor, dar la unele dintre acestea există și chestiuni suplimentare de luat în considerare. De la o anumită vârstă, copilul ar putea să-și dea singur consimțământul, nemaifiind cazul să o facă părinții pentru el. Dacă și-l dă singur, n-ar trebui scăpat din vedere că e posibil ca acel copil să-și fi dat consimțământul dintr-o poziție de vădită inferioritate -- deci, n-ar mai fi valabil.

Chiar și dacă acesta a fost cazul, copilul ar trebui să știe cumva că are dreptul să și-l retragă singur, când are capacitatea să decidă asta. N-ar fi însă întotdeauna cel mai indicat temei de prelucrare a datelor copiilor, spune ICO și ar trebui căutat dacă nu cumva ar putea fi stabilite alte temeiuri.

La interesul legitim mai există o discuție: cel care prelucrează datele copiilor folosindu-se de acest temei ar trebui să arate că prelucrarea este necesară pentru a atinge acel interes bine identificat și că se află într-un echilibru cu interesele, drepturile și libertățile copilului.

2. Ce faci când nu ești sigur dacă prelucrezi și date ale copiilor sau nu știi care este vârsta lor?

În mediul online, cel mai bun exemplu, e destul de greu să conturezi vârsta aproximativă a utilizatorilor. Și dacă ajungi să-ți dai seama că e vorba de un minor, va deveni problematic să-l plasezi într-o categorie de vârstă. Are peste 16 ani sau nu? ICO recomandă adaptarea procesului de prelucrare astfel încât să răspundă și cerințelor de siguranță pentru copii. Una dintre măsuri ar fi folosirea unor bariere cât mai eficiente pentru restricționarea accesului în funcție de vârstă.

3. Verificarea vârstei vizitatorilor unui site din perspectiva datelor personale: când și de ce?

Copiii sub 16 ani au nevoie de acordul părinților pentru a folosi orice fel de serviciu online ce presupune strângerea și folosirea ulterioară a datelor personale. Asta înseamnă și verificarea vârstei utilizatorilor.

Totuși, nu orice site ce prelucrează date personale trebuie să verifice vârsta vizitatorilor. Mai întâi, e necesar să se identifice temeiul prelucrării. Dacă e consimțământul și dacă dacă serviciile societății informaționale sunt oferite în mod direct unui copil, atunci prelucrarea datelor personale ale copilului sub 16 ani este legală numai dacă există acordul unui părinte. Dacă temeiul e altul, nu se pune problema verificării vârstei din punct de vedere al legalității prelucrării datelor personale

4. Prelucrarea datelor pentru marketing direct

ICO spune că nu ar fi o interdicție în prelucrarea datelor celor mici în scop de marketing direct, dar atrage atenția că celor mici ar trebui să li se explice foarte bine toată chestiunea aceasta (de ce le sunt prelucrate datele în acest fel).

Ne putem gândi aici la copilul care se înregistrează pe site-ul unui cântăreț pe care-l simpatizează și primește e-mailuri cu privire la produse pe care site-ul respectiv le oferă în legătură cu cântărețul respectiv.

Copiii sunt o categorie aparte, vulnerabilă, înainte de toate. Este extrem de riscant, arată ICO, să folosim instrumente de marketing care să profite de pe urma credulității celor mici.

5. Care sunt drepturile copiilor în toată discuția asta și când ar putea să le exercite în nume propriu?

Aceleași ca adulții ale căror date sunt prelucrate, subliniază ICO (am detaliat toate aceste drepturi în acest material). O persoană vizată de prelucrări are dreptul să știe ce date îi sunt prelucrate, are dreptul să ceară rectificarea lor, ștergerea lor, restricționarea prelucrării, are dreptul să se opună prelucrării sau să ceară portarea datelor.

Singura discuție care interesează aici în mod special este cea legată de momentul când copiii își pot exercita singuri aceste drepturi.

În legislația adoptată până acum pe lângă GDPR de legiuitorul român nu s-a specificat nimic legat de vârsta copiilor și drepturile lor în legătură cu prelucrarea de date. Dacă ne uităm la Codul civil, vedem că un copil dobândește capacitate de exercițiu restrânsă la 14 ani, dar este aceasta vârsta de la care considerăm că poate să-și exercite singur acele drepturi? Într-o discuție viitoare, vom încerca să răspundem la această întrebare, cu ajutorul unui specialist.