GDPR datele copiilor

GDPR si datele copiilor: cum le prelucram in mod legal?

51 minute • Ana-Maria Udriste • 25 iunie 2018


Ce trebuie să știm atunci când prelucrăm datele personale ale copiilor?

1.           Ce este GDPR?

GDPR este un Regulament European care se aplică direct în România din data de 25 mai 2018. Scopul principal al GDPR este să unifice legislația privind protecția datelor în Europa și să acorde persoanelor fizice drepturi și control asupra datelor cu caracter personal.

2.           Ce este acest Ghid?

Acest ghid este un instrument care se axează pe problemele specifice regăsite în GDPR, respectiv probleme care apar în momentul în care se prelucrează date cu caracter personal ale copiilor.

3.           Cine este copilul?

Când ne referim la un copil, înțelegem pe oricine sub vârsta de 18 ani. Acest lucru este în conformitate cu Convenția ONU privind drepturile copilului, care definește un copil ca fiind ”orice ființă umană sub vârsta de 18 ani, exceptând cazurile în care legea aplicabilă copilului stabilește limita majoratului sub această vârstă.”
Când ne referim la cineva care răspunde pentru un copil, înțelegem pe cineva care, în conformitate cu legea aplicabilă, are drepturile și responsabilitățile legale vis-a-vis de un copil care sunt în mod normal acordate părinților. Acest lucru nu va aparține întotdeauna de “părinții naturali” ai unui copil (ci pot fi titulari ai autorității părintești bunicii) și responsabilitatea parentală poate fi deținută de mai mult de o persoană fizică sau juridică.
GDPR conține dispoziții menite să mărească protecția datelor cu caracter personal ale copiilor și să se asigure că copiii sunt abordați într-un limbaj clar pe care îl pot înțelege. Transparența și responsabilitatea sunt importante în ceea ce privește datele copiilor și acest lucru este deosebit de relevant atunci când aceștia din urmă accesează servicii online. Cu toate acestea, în toate circumstanțele trebuie să luați în considerare cu atenție nivelul de protecție pe care îl oferiți acelor date și să fie mai puternic decât în mod normal.

4.           Cu ce vine nou GDPR?

GDPR afirmă explicit că datele personale ale copiilor merită o protecție specifică.
De asemenea, introduce noi cerințe pentru prelucrarea online a datelor personale ale unui copil.
În situațiile în care un produs sau un serviciu este oferit direct unui copil și vă bazați pe consimțământ ca bază de procesare, în România, ca regulă, numai copiii de peste 18 ani pot să-și dea consimțământul (începând cu 14 ani minorul are capacitate de exercițiu restrânsă conform Codului Civil). GDPR vine și impune o limită de 16 ani pentru necesitatea consimțământului din partea copiilor. Pentru copiii cu vârsta sub această vârstă, consimțământul trebuie să fie furnizat de titularul răspunderii părintești asupra copilului.
Aceasta înseamnă că, dacă doriți să furnizați produse sau servicii unui copil sub 16 ani și doriți să folosiți consimțământul ca temei juridic pentru prelucrare, trebuie să verificați dacă persoana care furnizează consimțământul are vârsta necesară.
De asemenea, trebuie să depuneți eforturi rezonabile (utilizând tehnologia disponibilă) în aceste circumstanțe pentru a verifica dacă consimțământul acordat în numele unui copil cu vârsta sub 16 ani a fost, de fapt, furnizat de titularul răspunderii părintești pentru acel copil.
De asemenea, GDPR afirmă în mod explicit că este necesară o protecție specifică în cazul în care datele personale ale copiilor sunt utilizate în scopuri de marketing sau în profilare și luarea deciziilor automat. Trebuie așadar să aveți grijă deosebită în aceste circumstanțe.
GDPR afirmă că nu trebuie să supuneți copiii deciziilor bazate exclusiv pe prelucrarea automată (inclusiv profilarea) în cazul în care acestea produc efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Deși există excepții de la această interdicție, acestea se aplică numai dacă există măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale copilului, iar preambulul 71 al GDPR oferă o indicație clară că acestea nu ar trebui să fie regula. Deci, dacă luați în prezent aceste tipuri de decizii cu privire la copii, trebuie să examinați cu atenție această prelucrare.
GDPR necesită furnizarea unor politici de confidențialitate adecvate vârstei și menționează că dreptul de ștergere al datelor personale este foarte important în cazul în care persoana vizată este un minor.

4.1.       De ce merită copii o protecție sporită?

Preambulul 38 din GDPR prevede că:
”Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.”

4.2.       Ce trebuie să știm despre ”privacy by design” și ”privacy by default”?

GDPR vă cere să introduceți măsuri tehnice și organizatorice adecvate pentru a pune în aplicare principiile de protecție a datelor și pentru a proteja drepturile persoanelor vizate. Aceasta este “protecția datelor by design și by default”. Aceasta înseamnă că trebuie să integrați protecția datelor în activitățile de prelucrare și practicile de afaceri, de la stadiul de proiectare până la activitatea curentă.
Dacă prelucrați datele cu caracter personal ale copiilor, atunci ar trebui să vă gândiți la necesitatea furnizării de la început a protecției specifice cerute de preambulul 38 și să vă proiectați prelucrarea, produsele și sistemele cu acest lucru în minte. Acest lucru este vital dacă prelucrați în mod regulat sau sistematic datele personale ale copiilor. Este de obicei mai ușor să încorporați designul prietenos pentru copii într-un sistem sau produs, ca parte a proiectului dvs. inițial, decât să încercați să îl adăugați mai târziu. Vă recomandăm să utilizați o evaluare a impactului protecției datelor (DPIA) pentru a vă ajuta în acest sens și pentru a evalua și a reduce riscurile privind protecția datelor pentru copil. De asemenea, ar trebui să țineți cont de drepturile și libertățile copilului, astfel încât libertatea lor de a învăța, dezvolta și explora (în special într-un context online) să fie limitată doar atunci când acest lucru este proporțional.
Dacă prelucrarea dvs. este susceptibilă să ducă la un risc ridicat pentru drepturile și libertățile copiilor, atunci trebuie să faceți o DPIA (află de aici cum să faci în mod corect o DPIA). Lista prelucrărilor susceptibile să genereze un risc pentru persoanele vizate și care necesită o DPIA include utilizarea datelor personale ale copiilor în scopuri de marketing, profilare sau alte decizii automatizate sau dacă intenționați să oferiți servicii online direct copiilor. Acest lucru nu înseamnă că acest tip de prelucrare va duce întotdeauna la un risc ridicat pentru drepturile și libertatea copiilor – poate că nu știți acest lucru decât după ce ați finalizat DPIA. Mai degrabă vorbim despre tipul de prelucrare despre care credem că are o probabilitate să fie cu risc ridicat.
Transparența este, de asemenea, cheia. Puteți crește gradul de conștientizare a copiilor (și a părinților acestora) cu privire la riscurile, consecințele, protecția și drepturile de protecție a datelor prin:

  • spunându-le ce faceți cu datele lor personale;
  • fiind deschis față de riscurile și garanțiile implicate; și
  • lăsându-i să știe ce să facă dacă nu sunt mulțumiți.

Acest lucru îi va ajuta, de asemenea, să ia decizii informate cu privire la datele personale pe care doresc să le împărtășească.
Abordarea dvs. ar trebui să fie privacy by design și privacy by default, luând în considerare vârsta copiilor în măsura în care este posibil și datele personale pe care le veți prelucra. De exemplu, pentru a proteja copiii de partajarea necorespunzătoare a datelor, puteți seta setările de confidențialitate din Aplicație pentru a nu “împărtăși” datele în mod implicit și când activați modul de partajare să includeți o explicație clară și prietenoasă pentru copii privind funcționalitatea aplicației și riscurile acesteia.

4.3.       Cât de importante sunt principiile echității și protejarea datelor personale?

Ca și în cazul oricărei alte prelucrări, echitatea, corectitudinea și respectarea principiilor privind protecția datelor ar trebui să se afle în centrul întregii prelucrări a datelor personale ale copiilor. Scopul acestor principii este de a proteja interesele individului și acest lucru este deosebit de important în cazul copiilor. Acestea se aplică la tot ceea ce faceți cu datele. personale (cu excepția cazului în care aveți dreptul să vă bazați pe o exceptare) și sunt esențiale pentru respectarea GDPR. Principiile de protecție a datelor sunt stabilite în articolul 5 din GDPR și sunt explicate în continuare aici.

4.4.       Dar interesul superior al copilului?

Conceptul de interes superior al copilului provine din articolul 3 din Convenția Națiunilor Unite privind drepturile copilului. Deși nu este menționată în mod specific în GDPR, acesta este un element pe care inspectorul îl va lua în considerare atunci când verifică respectarea GDPR ar trebui avut în vedere atunci când luați decizii cu privire la prelucrarea datelor cu caracter personal ale copiilor. Acesta prevede că:
”în toate acţiunile care privesc copiii, întreprinse de instituţiile de asistenţă socială publice sau private, de instanţele judecătoreşti, autorităţile administrative sau de organele legislative, interesele copilului vor prevala.”
Același principiu îl râgâim și în articolul 263 din Codul Civil care prevede că:
” (1) Orice măsură privitoare la copil, indiferent de autorul ei, trebuie să fie luată cu respectarea interesului superior al copilului.”

4.5.       Ce facem dacă nu suntem siguri dacă persoanele vizate sunt copii sau nu?

Acest lucru poate fi o problemă, în special în cazul prelucrării online sau a altor prelucrări la distanță. Dacă nu sunteți sigur dacă persoanele vizate sunt copii sau în ce categorie de vârstă intră, atunci trebuie, de obicei, să adoptați o abordare prudentă și bazată pe risc. Aceasta poate însemna:

  • proiectarea prelucrării astfel încât să ofere o protecție suficientă pentru copii;
  • punerea în aplicare a unor măsuri proporționale pentru prevenirea sau descurajarea copiilor de la furnizarea datelor lor cu caracter personal;
  • adoptarea măsurilor adecvate pentru a pune în aplicare orice restricții de vârstă pe care le-ați stabilit; sau
  • implementarea sistemelor de verificare a vârstei.

Alegerea soluțiilor poate varia în funcție de riscurile inerente prelucrării, de drepturile și libertățile copilului și de dispozițiile speciale ale GDPR care se aplică prelucrării dvs. Trebuie să vă gândiți întotdeauna atât la intervalul de vârstă vizat pentru prelucrare, cât și la potențialul pentru copiii din afara acestei grupe de vârstă de a furniza datele personale.

4.6.       Ar trebui să ne consultăm cu copiii?

Este o practică bună să țineți cont de opiniile copiilor atunci când vă proiectați prelucrarea, inclusiv prin apelarea la diverse grupuri care pot oferi feedback. Acest lucru vă poate ajuta să identificați riscurile, să creați garanții și să evaluați înțelegerea copiilor față de prelucrare, precum și să vă oferiți posibilitatea de a testa sistemul sau produsul dvs. de utilizatorul final.
De asemenea, este în concordanță cu Convenția ONU privind drepturile copilului, care prevede la articolul 12 că fiecare copil are dreptul de a-și exprima opiniile, sentimentele și dorințele în toate problemele care le afectează și de i se lua în considerare părerile în mod serios.

5.           Ce trebuie să luăm în considerare când alegem un temei pentru prelucrarea datelor copiilor?

5.1.       Care sunt temeiurile pentru prelucrarea datelor?

Înainte de a începe prelucrarea datelor personale ale oricărei persoane, trebuie să luați în considerare temeiul prelucrării pentru a vă asigura că este legală. Posibilele temeiuri legale de prelucrare sunt prezentate în articolul 6 al GDPR.
Pentru lista completă și explicațiile suplimentare privind alegerea unei baze de procesare, vă rugăm să consultați articolul acesta și Ghidul nostru GDPR în 20 minute.
Vă puteți baza pe oricare din temeiurile menționate în articolul 6 ca temei legal pentru prelucrarea datelor personale ale unui copil. Cu toate acestea, pentru unele dintre aceste temeiuri există câteva considerații suplimentare importante de care trebuie să țineți cont atunci când persoana vizată este un copil.

5.2.       Dacă ne bazăm pe consimțământ?

GDPR vă permite să vă bazați prelucrarea pe consimțământ.
Potrivit at. 6 alin. (1) din GDPR:
” (1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”
S-ar putea să existe circumstanțe în care doriți să prelucrați datele personale ale copilului folosind consimțământul ca temei legal pentru prelucrare. Acesta poate fi potrivit dacă sunteți într-adevăr capabil să oferiți copiilor (sau părinților acestora) o alegere informată și un control asupra modului în care utilizați datele lor personale. Cu toate acestea, consimțământul nu ar trebui utilizat ca o modalitate de evitare a propriei dvs. responsabilități pentru evaluarea riscurilor inerente procesării. Deși consimțământul este un temei legal pentru prelucrarea datelor cu caracter personal ale copiilor, utilizarea acestuia nu garantează neapărat că prelucrarea este corectă și nu este întotdeauna cel mai potrivit temei.

5.3.       Dacă ne bazăm pe ”consimțământ”?

Am scris despre condițiile pe care trebuie să le îndeplinească un consimțământ aici.
În plus, trebuie să luați în considerare competența copilului (indiferent dacă are sau nu capacitatea de a înțelege implicațiile colectării și prelucrării datelor personale). Dacă au această capacitate, atunci sunt considerați competenți să-și dea propriul consimțământ la prelucrare, cu excepția cazului în care este evident că acționează împotriva propriilor interese.
De asemenea, ar trebui să țineți cont de orice dezechilibru de putere în relația cu copilul, pentru a vă asigura că, dacă acceptați consimțământul acestuia, acesta este acordat în mod liber.
Atunci când copilul nu are competența să ofere un consimțământ, atunci, în termenii protecției datelor, consimțământul lor nu este “informat” și, prin urmare, nu este valabil. Dacă doriți să vă bazați pe consimțământ în această situație, aveți nevoie de consimțământul unei persoane cu răspundere părintească asupra acelui copil, cu excepția cazului în care este evident că ar fi împotriva interesului superior al copilului să se solicite consimțământul părinților.
În anumite contexte, este posibil să faceți o evaluare individuală a competenței unui copil. Cu toate acestea, dacă nu sunteți în măsură să faceți acest tip de evaluare, atunci ar trebui să luați în considerare cel puțin vârsta copilului și complexitatea a ceea ce vă așteptați să înțeleagă.
Dacă acceptați un consimțământ din partea unui titular al răspunderii părintești asupra unui copil, atunci trebuie să vă gândiți și la modul în care îl lăsați pe copil să știe că are dreptul să-și retragă consimțământul de îndată ce are competența de a lua o astfel de decizie. Trebuie să furnizați aceste informații ca parte a oricărei informări privind confidențialitatea adresată copilului. Vă recomandăm, de asemenea, să o includeți ca parte a oricăror informări obișnuite pe care le trimiteți persoanelor vizate despre setările lor de confidențialitate și despre modul de actualizare a acestora.

5.4.       Dacă ne bazăm pe ”executarea sau încheierea unui contract”?

Când doriți să încheiați un contract cu un copil, trebuie să luați în considerare competența lor de a accepta contractul și de a înțelege implicațiile prelucrării datelor sale personale.
Vârsta legală de capacitate de a încheia contracte este de 14 ani în România pentru acte de mică valoare (art. 43 Codul Civil). Între 14 și 18 ani, minorii au capacitate de exercițiu restrânsă, ceea ce înseamnă că pot încheia contracte dacă au încuviințarea titularului răspunderii părintești. Dacă contractul nu este valabil încheiat înseamnă că nu aveți un temei legal pentru prelucrare.
Acesta este un domeniu foarte complex, deci, dacă intenționați să încheiați un contract cu un copil, vă recomandăm cu insistență să solicitați sfaturi juridice cu privire la valabilitatea contractului. Acest lucru este important atât pentru a vă asigura că modelul dvs. de afaceri rămâne în picioare și că aveți un temei legal pentru prelucrare. În mod similar, dacă vă gândiți să permiteți unui părinte să accepte un contract cu dvs. în numele unui copil, trebuie să apelați din nou la consultanță juridică de specialitate. Nu trebuie să vă bazați pe acest ghid ca pe o explicație completă a legii sau o consultație juridică.

5.5.       Dacă ne bazăm pe ”obligație legală”?

Dacă vă bazați pe obligația legală ca temei pentru prelucrarea datelor personale ale unui copil, atunci abordarea dvs. de bază ar trebui să fie aceeași ca și când procesați datele personale ale unui adult în baza acestei legi. Trebuie să identificați obligația legală care stă la baza prelucrării și apoi să stabiliți că prelucrarea este “necesară” pentru a vă conforma acestei obligații.
Ceea ce poate fi diferit atunci când se procesează datele cu caracter personal ale copiilor este obligația legală care stă la baza acestora. Acest lucru se datorează faptului că există anumite legi care privesc sau urmăresc în mod special să protejeze copiii sau care aplică diferite standarde sau cerințe în cazul copiilor.
De asemenea, atunci când se analizează dacă prelucrarea este o modalitate proporțională de a realiza conformitatea (și, prin urmare, dacă este “necesară”), ceea ce este proporțional cu adulții și copiii ar putea fi diferit. Trebuie să judecați acest lucru în fluxul prelucrării dvs., ținând cont de interesul superior al copilului.

5.6.       Dacă ne bazăm pe ”interese vitale”?

Din nou, abordarea dvs. de bază ar trebui să fie aceeași dacă persoana vizată este un adult sau un copil. Pentru ca acest temei legal să se aplice, prelucrarea trebuie să fie necesară pentru a proteja viața cuiva. Deoarece copiii sunt mai vulnerabili decât adulții, poate exista o diferență în ceea ce este necesar pentru a proteja interesele vitale ale unui copil și ceea ce este necesar pentru a proteja interesele vitale ale unui adult. Trebuie să evaluați acest lucru ținând cont de contextul prelucrării și vă recomandăm să apelați la consultanță juridică de specialitate.

5.7.       Dacă ne bazăm pe ”îndeplinirea unei sarcini care servește unui interes public”?

Vă puteți baza pe acest temei legal dacă prelucrarea dvs. este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice care ți-a fost încredințată. Acesta se aplică, de obicei, autorităților și instituțiilor publice, deși poate fi uneori utilizat de organizații private care exercită atribuții ale autorităților publice sau îndeplinesc sarcini de interes public.
Este posibil ca anumite sarcini ale autorităților publice să implice prelucrarea datelor cu caracter personal ale copiilor, de exemplu cele efectuate de serviciile de protecție ale copiilor sau de autoritățile tutelare. Testul de bază pentru acest temei legal este același dacă persoanele vizate sunt copii sau adulți; trebuie să identificați funcția dvs. și să vă asigurați că procesarea este necesară pentru această sarcină. Ceea ce este proporțional (și, prin urmare, necesar) în ceea ce privește prelucrarea datelor cu caracter personal ale copiilor poate fi însă diferit de ceea ce este proporțional cu prelucrarea datelor cu caracter personal adulților și ar trebui să prevaleze interesul superior al copilului.

5.8.       Dacă ne bazăm pe ”interes legitim”?

GDPR permite operatorilor să își bazeze prelucrarea datelor cu caracter personal pe interes legitim în anumite cazuri (puteți citi mai multe despre interesul legitim în prelucrarea datelor cu caracter personal aici).
Sub acest temei legal pentru prelucrare trebuie să:

  • identificați interesul legitim;
  • arătați că prelucrarea este necesară pentru atingerea acesteia; și
  • să comparați echilibru aceasta împotriva intereselor, drepturilor și libertăților copilului.

Aceasta este uneori menționată ca efectuarea unei evaluări legitime ale intereselor și pașii pe care trebuie să îi parcurgeți sunt analizați mai detaliat în KIT-ul nostru de implementare, unde găsiți toată procedura aferentă. Trebuie să faceți unele analize cu privire la natura prelucrării și riscurile potențiale pe care le ridică și să luați măsurile adecvate de protecție împotriva acestor riscuri.
Articolul 6 alineatul (1) litera (f) din GDPR pune un accent deosebit pe necesitatea de a proteja interesele și libertățile fundamentale ale persoanelor vizate atunci când sunt copii. Acest lucru este recunoscut și de preambulul 38 din GDPR care spune că copiii au nevoie de o protecție specifică în ceea ce privește datele lor personale, deoarece aceștia ar putea să nu cunoască bine riscurile și consecințele prelucrării, garanțiile care ar putea fi puse în aplicare pentru a le proteja datele personale și drepturile pe care le au .
Atunci când utilizați “interesul legitim” ca bază legală pentru prelucrarea datelor cu caracter personal ale copiilor, aveți, prin urmare, responsabilitatea de a le proteja de riscurile pe care nu le pot aprecia pe deplin și de consecințele pe care nu le pot avea în vedere. Depinde de tine, nu de copil, să te gândești la aceste probleme și să identifici măsurile de protecție adecvate. Ar trebui să puteți demonstra că ați protejat în mod suficient drepturile și libertățile fundamentale ale copilului și că ați acordat prioritate intereselor lor asupra organizației dvs. când este necesar.
Folosirea interesului legitim ca temei legal pentru prelucrarea datelor personale ale copilului pune răspunderea pe umerii dvs. (sau a adultului care acționează în numele lor), pentru a vă asigura că datele personale sunt protejate în mod adecvat. Trebuie să vă gândiți la ceea ce copilul se poate aștepta în mod rezonabil să faceți cu datele lor personale, în contextul relației dvs. cu aceștia.
În practică, acest lucru înseamnă că, dacă intenționați să prelucrați datele personale ale copiilor, trebuie să vă gândiți la procesul de prelucrare a acestor date de la bun început și la nevoia crescută de protecție. Ar trebui să țineți cont de paleta de vârstă a copiilor atunci când proiectați prelucrarea, deoarece acest lucru poate afecta nivelul lor de înțelegere și cantitatea de protecție de care au nevoie. Deși nu există reguli definite în acest sens, copiii mai mici au, în general, nevoie de mai multă protecție și au o mai mică autonomie decât copiii mai mari. Libertatea copiilor de a învăța, de a dezvolta și de a explora ar trebui restricționată numai dacă acesta este un răspuns proporțional la riscurile identificate. Vă recomandăm să utilizați o evaluare de impact a protecției datelor pentru a vă ajuta să decideți acest lucru și dacă prelucrarea este susceptibilă de a avea un risc ridicat, atunci trebuie să faceți o DPIA. Este, de asemenea, o bună practică consultarea cu copii ca parte a procesului de proiectare a prelucrării, deoarece aceasta poate fi cea mai bună metodă de evaluare a nevoii și înțelegerii.
Chiar dacă nu căutați în mod activ să prelucrați datele personale ale copiilor (de exemplu, dacă livrați un produs sau un serviciu destinat adulților, nu copiilor), trebuie să vă gândiți dacă copiii sunt capabili sau pot accesa produsul sau serviciul, pentru că s-ar putea să ajungeți oricum la prelucrarea datelor personale ale copiilor. În această situație, trebuie să luați în considerare riscurile de protecție ale datelor și fie să puneți în aplicare măsuri de protecție adecvate pentru a le proteja sau să luați măsuri adecvate riscurilor implicate pentru a descuraja copiii să furnizeze datele lor personale.
Considerații similare se aplică în cazul în care aveți un produs pentru copiii mai în vârstă, dar credeți că este posibil ca copiii mai mici să îl folosească.

5.9.       Dar dacă prelucrăm categorii speciale de date?

Dacă prelucrați “categorii speciale” de date cu caracter personal, cum ar fi date privind sănătatea, atunci, pe lângă nevoia unui temei legal pentru prelucrare în temeiul articolului 6, trebuie să identificați o condiție pentru prelucrare în temeiul articolului 9 din GDPR. Acest lucru se datorează faptului că articolul 9 interzice prelucrarea acestor date cu caracter personal decât dacă sunt îndeplinite anumite condiții.
Acestea tind să se aplice în circumstanțe foarte specifice și multe dintre acestea includ un test de necesitate. Dacă se aplică un test de necesitate, protecției datelor cu caracter personal ale copiilor trebuie să I se acord o atenție sporită atunci când se aplică acest test. Trebuie să utilizați expertiza specifică sectorului pentru a decide ce este proporțional și în interesul superior al copilului. Condiția pentru protecția copiilor și a persoanelor aflate în situație de risc are o relevanță crescută atunci când se prelucrează datele cu caracter personal ale copiilor în contextul protecției copilului, însă alte condiții pot fi aplicate în mod egal și atunci când se prelucrează datele cu caracter personal ale copiilor.
Pentru mai multe detalii privind condițiile de procesare a categoriilor speciale de date personale vă rugăm să consultați Ghidul nostru și articolul de aici.

6.           Dacă vrem să targetăm copiii cu marketing?

6.1.       Ce avem nevoie dacă dorim să utilizăm datele personale ale copiilor pentru marketing?

Dacă intenționați să utilizați datele personale ale copiilor în scopuri de marketing, atunci trebuie să faceți o DPIA pentru a stabili dacă prelucrarea va duce la un risc ridicat pentru drepturile și libertățile persoanelor vizate. Acest lucru se datorează faptului că targetarea marketingului la copii este una dintre circumstanțele despre care noi considerăm că poate duce la un asemenea risc.

6.2.       Putem folosi datele personale ale copiilor pentru marketing?

GDPR afirmă că datele personale ale copiilor merită o protecție specifică, care ar trebui să se aplice, în special, utilizării datelor lor în scopuri de marketing sau creării unor profiluri/luării deciziilor automate.
Utilizarea datelor personale ale copiilor în scopuri de marketing poate include atât utilizarea datelor personale pentru a trimite mesaje de marketing copiilor în mod individual (cunoscută și sub numele de marketing direct), cât și utilizarea datelor personale pentru a afișa anunțuri direcționate într-un context online (cunoscut și sub numele de publicitate comportamentală).
Nu sunteți în mod necesar împiedicat să utilizați datele personale ale copiilor în scopuri de marketing, dar trebuie să vă asigurați că îndepliniți toate cerințele GDPR. De exemplu, trebuie să vă asigurați că prelucrarea este corectă și că respectă toate principiile de protecție a datelor. Trebuie să aveți un temei legal pentru prelucrare și trebuie să explicați ceea ce faceți cu datele lor personale într-un mod pe care ei îl pot înțelege. În toate situațiile, trebuie să vă asigurați că copilul este protejat în mod special atunci când datele personale sunt prelucrate în aceste scopuri. Nu trebuie să exploatați lipsa de înțelegere sau de vulnerabilitate.
Copiii au același drepturi ca și adulții să se opună prelucrării datelor lor personale în scopuri de marketing direct. Deci, dacă vă cer să nu vă mai prelucrați datele personale în acest scop, trebuie să vă opriți. De asemenea, trebuie să le spuneți despre dreptul lor de a se opune, fie pentru prima dată când le trimiteți un mesaj de marketing direct, fie înainte de a trimite acest prim mesaj.
Dacă intenționați să trimiteți mesaje electronice de marketing copiilor, atunci trebuie să respectați inclusiv dispozițiile din marketing direct, despre care am scris aici, aici, aici și aici, inclusiv cu privire la consimțământul necesar.

6.3.       Ce ar trebui să avem în vedere dacă dorim să utilizăm datele personale ale copiilor pentru marketing?

Preambulul 38 din GDPR afirmă că copiii merită o protecție specifică atunci când datele lor cu caracter personal sunt folosite în scopuri de marketing, deoarece aceștia ar putea să fie mai puțin conștienți de riscurile, consecințele și măsurile de protecție în cauză.
Dacă un copil vă oferă date personale, cum ar fi o adresă de e-mail sau informații despre hobby-urile sau interesele lor, atunci este posibil să nu realizeze că le veți folosi în scopuri comerciale și nu ar putea înțelege chiar ce este marketingul și cum funcționează . Acest lucru poate duce la primirea de mesaje comerciale pe care nu le doresc. De asemenea, dacă aceștia nu sunt capabili să evalueze critic conținutul mesajelor comerciale, atunci lipsa lor de conștientizare cu privire la consecințele furnizării datelor personale îi poate face vulnerabili. De exemplu, copiii pot fi influențați de a face alegeri alimentare nesănătoase sau de a cheltui bani pe bunuri pe care nu le folosesc sau care nu le pot permite.
Deci, dacă doriți să utilizați datele personale ale unui copil pentru marketing, trebuie să vă gândiți dacă și cum puteți atenua aceste riscuri.
Standardele de publicitate stipulează că marketingul furnizat în mod direct copiilor nu trebuie să conțină nimic care ar putea duce la rănirea lor fizică, mintală sau morală. De exemplu, anunțurile nu trebuie să-și exploateze credulitatea, loialitatea, vulnerabilitatea sau lipsa de experiență. Marketingul nu trebuie să încurajeze obiceiurile alimentare slabe sau un stil de viață nesănătos la copii.
Este o bună practică să luați în considerare orientările sectoriale specifice privind mesajele comerciale pentru a vă asigura că nu utilizați datele personale ale copiilor într-un mod care ar putea duce la exploatarea lor.

7.           Dacă vrem să facem profilare și luarea unor decizii automat privind copiii?

7.1.       Ce avem nevoie pentru a folosi informațiile de la copii pentru profilare și luarea unor decizii automate?

Dacă intenționați să utilizați datele personale ale copiilor în scopuri de profilare și decizionare automată, atunci trebuie să faceți o DPIA pentru a stabili dacă prelucrarea va duce la un risc ridicat pentru drepturile și libertățile persoanelor vizate. Acest lucru se datorează faptului că targetarea marketingului la copii este una dintre circumstanțele despre care noi considerăm că poate duce la un asemenea risc.

7.2.       Ce spune GDPR despre decizionare automată, profilare și copii?

Articolul 22 din GDPR nu face referire în mod specific la copii, ceea ce înseamnă că se aplică aceleași reguli de bază ca și adulților.
Nu trebuie să luați decizii numai pe baza prelucrării automatizate a datelor lor personale (inclusiv a profilului) în cazul în care aceste decizii au un efect juridic sau similar semnificativ asupra acestora, cu excepția cazului în care se aplică una dintre următoarele excepții.
Decizia:

  • este necesară pentru executarea unui contract între persoana vizată și un operator de date și operatorul a instituit măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanelor vizate;
  • este autorizată de legislația Uniunii sau a statului membru, care include măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate;
  • se bazează pe acordul explicit al persoanelor vizate, iar operatorul de date a pus în aplicare măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanelor vizate.

Dacă vi se solicită să adoptați măsuri adecvate pentru a proteja drepturile persoanelor vizate, acestea trebuie să includă cel puțin:

  • dreptul de a obține o intervenție umană din partea operatorului; și
  • dreptul persoanei vizate de a-și exprima punctul de vedere și de a contesta decizia.

Dacă decizia implică prelucrarea unor categorii speciale de date cu caracter personal, atunci excepțiile care pot fi invocate pentru a justifica prelucrarea sunt mai limitate și prelucrarea poate avea loc numai dacă:

  • decizia se bazează pe consimțământul explicit al persoanei vizate și au fost luate măsurile corespunzătoare pentru a proteja drepturile, libertățile și interesele legitime ale persoanelor vizate; sau
  • prelucrarea este necesară din motive de interes public, pe baza legislației Uniunii Europene sau a statelor membre și au fost luate măsuri adecvate de salvgardare a drepturilor, a libertăților și intereselor legitime ale persoanelor vizate.

Cu toate acestea, preambulul 71 afirmă că “o astfel de măsură” (doar luarea deciziilor automate, inclusiv profilarea, cu efecte juridice sau similare, în mod semnificativ) “nu ar trebui să se refere la un copil“. Deși această formulare nu este reflectată în articolele din GDPR în sine și nu poate fi considerată o interdicție absolută a acestui tip de prelucrare în ceea ce privește copiii, aceasta indică în mod clar că o astfel de prelucrare a datelor cu caracter personal ale copiilor nu ar trebui să fie regula, ci excepția.
Articolul 21 le oferă, de asemenea, persoanelor vizate, inclusiv copiilor, un drept absolut de a se opune profilării în cazul marketingului direct

7.3.       Ce înseamnă profilare?

Articolul 4 alin. (4) din GDPR definește crearea de profiluri ca:
„orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;”
Nu toate deciziile bazate exclusiv pe prelucrarea automată se califică drept profilare și nu toate profilările se califică drept o decizie exclusiv automatizată în sensul articolului 22, deși pot exista unele suprapuneri.

7.4.       Poate fi un copil subiectul profilării?

Normele din articolul 22 din GDPR se referă la numai decizii automatizate (care pot include profilarea) și nu la procesul de profilare în sine. Aceasta înseamnă că profilarea care nu este folosită pentru a lua decizii cu privire la anumite persoane sau profilarea care face parte dintr-un proces mai larg de luare a deciziilor cu un element uman nu este reglementată de normele articolului 22. De asemenea, nu sunt aici deciziile automatizate (inclusiv profilare) care nu au un efect juridic sau similar semnificativ asupra persoanei vizate.
Dacă articolul 22 nu se aplică atunci, atâta timp cât vă asigurați că acordați o protecție specifică copilului în conformitate cu preambulul 38, GDPR nu vă împiedică să profilați copiii. Cu toate acestea, trebuie să îndepliniți toate celelalte cerințe ale GDPR, cum ar fi prelucrarea corectă, având un temei legal de prelucrare și furnizarea unei notificări privind confidențialitatea pe care copilul o poate înțelege. Ar trebui să fiți clari cu privire la ceea ce faceți și să nu exploatați lipsa de înțelegere sau vulnerabilitate din partea copilului.
În cazul în care se aplică articolul 22, nu este interzisă profilarea copiilor, dar ar trebui să acordați o atenție deosebită considerentului 71 și orientărilor Grupului de lucru pentru protecția datelor în temeiul articolului 29 privind luarea automată a deciziilor și profilării automate în sensul Regulamentului 2016/679 care spune că “în cazul în care este posibil, operatorii de date nu ar trebui să se prevaleze de excepțiile de la articolul 22 alineatul (2) pentru a se justifica [decizii automatizate privind copiii, cu efect juridic sau similar semnificativ]
Dacă vă bazați pe una dintre excepțiile de la articolul 22 pentru a justifica o astfel de prelucrare, trebuie să demonstrați că există măsuri adecvate pentru a proteja în mod corespunzător interesele copiilor ale căror date cu caracter personal le prelucrați. În conformitate cu articolul 22 alineatul (2), dacă sunteți responsabil pentru punerea în aplicare a acestor măsuri, acestea trebuie să includă cel puțin dreptul acordat copiilor pentru intervenția umană și dreptul de a contesta o decizie. În funcție de circumstanțe, poate fi necesar să faceți mai mult decât acest lucru. În orice caz, trebuie să faceți procesele prin care copiii își exercită drepturile ușor de accesat, utilizat și de înțeles. Și din nou, trebuie să respectați în continuare toate celelalte cerințe ale GDPR.
De asemenea, trebuie să îi spuneți copilului că intenționați să utilizați datele lui personale pentru a lua decizii automate despre el și pentru să îi explicați, în limba pe care o poate înțelege, logica implicată în luarea deciziilor și semnificația și consecințele preconizate ale prelucrării. Aceasta este o cerință în temeiul articolelor 13 și 14 din GDPR
Dacă aveți în vedere profilarea datelor personale ale copiilor în scopuri de marketing, atunci ar trebui să țineți cont de următoarele observații din Orientările grupului de lucru pentru protecția datelor în temeiul articolului 29 privind luarea automată a deciziilor și profilarea automată în sensul Regulamentului 2016/679: “Întrucât copiii reprezintă cel mai mult grupul vulnerabil al societății, organizațiile ar trebui, în general, să se abțină de la a îi profila în scopuri de marketing. Copiii pot fi deosebit de sensibili în mediul online și pot fi mai ușor influențați de publicitatea comportamentală. De exemplu, în jocurile online, profilarea poate fi utilizată pentru a viza jucători despre care algoritmul consideră este mai probabil să cheltuiască bani în joc, precum și să furnizeze mai multe anunțuri personalizate. Vârsta și maturitatea copilului îi pot afecta capacitatea de a înțelege motivația care stă la baza acestui tip de marketing sau consecințele acestuia. Având în vedere aceste observații, sunteți așteptat să justificați prelucrarea, evidențiind măsurile de protecție pe care le-ați implementat și demonstrând că este adecvată utilizarea datelor cu caracter personal ale acestora în acest mod.
De asemenea, trebuie să rețineți că dreptul copilului de a se opune prelucrării datelor lor personale în scopul marketingului direct se extinde la orice profil care este legat de acest marketing direct. Deci, dacă copilul (sau cineva care acționează în numele acestuia) vă cere să opriți profilarea în acest scop, atunci trebuie să faceți acest lucru.

7.5.       Ce înseamnă ”produce efecte juridice” sau ”afectează în mod similar într-o măsură semnificativă”?

Un efect juridic asupra unui copil este ceva care are un impact asupra drepturilor și libertăților lor fundamentale prevăzute de lege și afectează în vreun fel statutul lor juridic.
Prin urmare, o decizie care “afectează în mod semnificativ” un copil trebuie să aibă un impact asupra lor care este egal sau echivalent cu faptul că le afectează drepturile și libertățile fundamentale legale și statutul juridic.
Deciziile bazate numai pe prelucrarea automată a datelor cu caracter personal sunt folosite cu scopul de a influența alegerile și comportamentele viitoare ale subiectului vizat. De exemplu, în contextul publicității comportamentale, un profil al obiceiurilor de navigare din trecut poate fi utilizat pentru a afișa automat anumite produse unor persoane particulare, cu scopul de a le influența să cumpere aceste produse. Aceasta poate fi o problemă deosebită în cazul copiilor deoarece pot fi mai ușor influențați și mai puțin capabili să înțeleagă motivația din spatele acestei prelucrări. Un studiu al UE privind impactul marketingului prin intermediul rețelelor sociale, al jocurilor online și al aplicațiilor mobile asupra comportamentului copiilor a constatat că practicile de marketing au un impact clar și uneori subliminal asupra comportamentului copiilor.
Deși nu orice alegere pe care un copil o face ca răspuns la o astfel de procesare are un efect “similar semnificativ” asupra lor, unele ar putea. De exemplu, se poate spune că prelucrarea automată a datelor personale ale unui copil care influențează un copil să facă alegeri alimentare proaste, în detrimentul sănătății fizice, îi afectează într-un mod “similar semnificativ” cu efect juridic.
Dacă doriți să luați decizii pe baza prelucrării automatizate a datelor cu caracter personal ale copiilor, cu intenția de a influența opțiunile sau comportamentul acestora, trebuie să luați în considerare impactul pe care acele alegeri sau comportamente îl pot avea asupra copilului și să decideți dacă acest lucru este un efect similar semnificativ. Dacă ajunge la această concluzie, se va aplica articolul 22 și, în conformitate cu considerentul 71 și cu avizul Grupului de lucru pentru protecția datelor în temeiul articolului 29, vă sfătuim să vă gândiți foarte atent înainte de a continua procesul de prelucrare și dacă mergeți înainte, asigurați-vă că prelucrarea poate fi justificată în baza uneia dintre excepții.
În general, dacă standardele de publicitate interzic sau limitează comercializarea anumitor tipuri de produse copiilor, acest lucru vă va oferi un bun indiciu că influențarea alegerilor unui copil în acest domeniu ar putea avea un efect semnificativ asupra lor. Și chiar dacă nu este îndeplinită cerința de “efect similar semnificativ”, trebuie să vă gândiți că Grupul de lucru pentru protecția datelor în temeiul articolului 29 recomandă să evitați profilarea copiilor în scopul comercializării. Deci, dacă vă decideți să faceți acest lucru, trebuie să vă puteți justifica decizia și să demonstrați că ați protejat în mod corespunzător copiii ale căror date cu caracter personal le prelucrați.

8.           Ce facem dacă vrem să transmitem mai departe datele copiilor?

Dacă doriți să partajați datele personale ale copiilor cu terțe părți, vă recomandăm să efectuați o DPIA pentru a evalua riscurile inerente în schimbul de date. Dacă prelucrarea se încadrează într-una din categoriile de natură să ducă la un risc ridicat pentru drepturile și libertățile copiilor, atunci DPIA este obligatorie.

9.           Cum se aplică exceptările copiilor?

9.1.       Ce spune GDPR despre excepții în ceea ce privește copii?

Articolul 23 din GDPR permite statelor membre să introducă derogări de la principiile de la articolul 5, obligațiile privind transparența și drepturile individuale. Dar numai acolo unde restricția respectă esența drepturilor și libertăților fundamentale ale individului și este o măsură necesară și proporțională într-o societate democratică, în anumite circumstanțe.
Capitolul IX din GDPR prevede că statele membre pot acorda scutiri, derogări, condiții sau reguli în legătură cu activitățile de prelucrare specifice.

9.2.       Cum aplicăm excepțiile când procesăm datele copiilor?

Excepțiile vă pot permite să prelucrați datele personale ale copiilor în moduri pe care GDPR nu le-ar permite altfel, dacă sunt îndeplinite anumite condiții.

Fiecare dintre excepții se aplică într-un set foarte specific de circumstanțe care necesită să faceți un test specific în fiecare caz. Acest lucru nu este diferit de datele cu caracter personal ale copiilor decât de datele personale ale adulților. Trebuie să luați în considerare formularea exactă a excepției individuale în cauză și să decideți dacă aceasta se aplică prelucrării dvs.
Deci, dacă credeți că ar trebui să puteți prelucra datele personale ale copiilor într-un mod care nu pare să fie permis de GDPR, ar trebui să verificați excepțiile care sunt disponibile în articolul 23 și în capitolul IX al GDPR.

10.        Cum se aplică dreptul de informare la copii?

10.1.    Ce informații trebuie să furnizăm copiilor?

Trebuie să oferiți copiilor aceleași informații despre ceea ce faceți cu datele personale pe care le-ați oferi adulților. Pentru ca procesarea să fie corectă, există aceeași nevoie de transparență, deoarece aceasta oferă un control și o alegere individuală.
O listă completă a informațiilor pe care trebuie să le furnizați, care variază în funcție de faptul că datele personale au fost furnizate de către persoana în sine sau de către o terță parte, este prezentată în aici, aici și aici.
Unul dintre motivele pentru care copiii au nevoie de o protecție specifică este faptul că aceștia ar putea să fie mai puțin conștienți de riscurile prelucrării și este, de asemenea, o bună practică să li explice riscurile implicate în prelucrare și orice garanții pe care le-ați instituit. Acest lucru va ajuta copiii (și părinții acestora) să înțeleagă implicațiile partajării datelor cu dvs. și cu ceilalți, astfel încât aceștia să poată lua măsuri informate și adecvate pentru a se proteja.
Ar trebui să vă clarificați și să aveți accesibilă o politică de confidențialitate și de asemenea să informați copilul cu privire la necesitatea de a proteja datele personale.

10.2.    Cum ar trebui să transmitem informarea privind confidențialitatea?

Ar trebui să scrieți într-un stil concis, clar și simplu pentru orice informație pe care o adresați copiilor într-o notă de confidențialitate.
Ar trebui să fie adecvată pentru copii și, pe cât posibil, adresată direct grupului de vârstă relevant. Dacă publicul vizat acoperă o gamă largă de vârste, puteți lua în considerare difuzarea diferitelor versiuni ale informării pentru vârste diferite. Dacă alegeți să aveți doar o singură versiune, trebuie să vă asigurați că este accesibilă tuturor și poate fi înțeleasă de cei mai mici dintre copiii vizați.
Ar trebui să prezentați notificarea dvs. privind confidențialitatea într-un mod care să atragă un public tânăr. Ar trebui să luați în considerare utilizarea diagramelor, a desenelor animate, grafică și videoclipuri care îi vor atrage și le vor stârni interesul. Într-un online, trebuie să luați în considerare utilizarea dashboards-urilor, a icoanelor și a simbolurilor.

10.3.    Dar dacă ne bazăm pe consimțământul titularului autorității părințești?

Dacă vă bazați pe consimțământul părinților atunci, pentru a vă asigura că consimțământul este informat, este mai degrabă responsabilitatea părinților decât a copilului să înțeleagă despre consimțământul oferit și modalitatea de protecție. Dacă le furnizați informațiile într-o manieră clară și accesibilă ar trebui să fie suficient.
Cu toate acestea, copiii nu își pierd drepturile de persoane vizate în ceea ce privește transparența doar pentru că consimțământul a fost acordat de titularul răspunderii părintești.
În practică, acest lucru înseamnă că trebuie să oferiți atât titularului răspunderii părintești, cât și copilului informații clare și accesibile privind confidențialitatea. Din nou, puteți realiza acest lucru dezvoltând versiuni diferite pentru aceste segmente diferite de public sau prin crearea unei versiuni prietenoase pentru copii, care poate fi înțeleasă și de către părinți.
Acestea oferă părinților care oferă consimțământul informațiile de care au nevoie și, de asemenea, ajută la informarea și educarea copiilor mici pentru viitor și le permite acestora să-și exercite drepturile în nume propriu, în conformitate cu capacitatea lor de a evolua în acest sens. De asemenea, puteți produce ceva conceput pentru a fi folosit de copii și părinți împreună pentru a le oferi părinților un instrument care să ajute la educația digitală a copilului.

10.4.    Dacă copilul nu știe să citească?

Articolul 29 recunoaște că, în majoritatea cazurilor, este foarte puțin probabil ca copiii foarte tineri sau preșcolari să înțeleagă chiar și cele mai de bază mesaje scrise sau comunicate referitoare la transparență.
În această situație, este în mod evident necesară furnizarea de informații privind confidențialitatea care pot fi înțelese de părinte. Cu toate acestea, acest lucru nu înseamnă că nu se aplică cerința de a furniza informații privind confidențialitatea copilului. Când operatorii de date vizează persoane care au o vârstă foarte fragedă, atenția privind informarea asupra drepturilor și a prelucrării datelor ar trebui să se îndrepte către părinți. De asemenea, ar trebui să vă asigurați că acest lucru este adus periodic atenției copilului în timpul relației de prelucrare cu aceștia (de exemplu, atunci când oferiți informări regulate despre setările de confidențialitate).

11.        Ce drepturi au copiii?

Copiii au aceleași drepturi ca și adulții față de datele lor personale. Acestea sunt prezentate în capitolele III și VIII ale GDPR și sunt enumerate mai jos. Pentru informații mai detaliate despre modul în care aceste drepturi se aplică tuturor persoanelor vizate, vă rugăm să consultați Ghidul nostru pentru GDPR.
Toate persoanele vizate, inclusiv copiii, au dreptul:

  • să primească o notificare transparentă și clară privind confidențialitatea, care explică cine sunteți și cum vor fi procesate datele;
  • să li se dea o copie a datelor lor personale;
  • să rectifice datele personale inexacte și să le completeze pe cele incomplete;
  • dreptul de a fi uitați și să li șteargă datele cu caracter personal;
  • să li se restricționeze prelucrarea în circumstanțe specificate;
  • la transferabilitatea datelor;
  • să se opună prelucrării datelor în scopul marketingului direct;
  • să nu facă obiectul unei decizii individuale automatizate, inclusiv profilarea care produce efecte juridice care îi privesc sau îi afectează în mod similar;
  • să depună o plângere la autoritatea de supraveghere;
  • să conteste o decizie a unei autorități de supraveghere;
  • să inițieze proceduri judiciare împotriva unui operator sau unei persoane împuternicite; și
  • să solicite despăgubiri din partea unui operator sau unei persoane împuternicite pentru orice prejudiciu suferit ca urmare a nerespectării drepturilor acestora în temeiul GDPR.

11.1.    Când poate un copil să-și exercite singur aceste drepturi?

Atunci când copilul dobândește capacitate de exercițiu restrânsă sau deplină (a se vedea secțiunea 4).

11.2.    Când poate un părinte să exercite drepturile în numele copilului?

Chiar dacă un copil este prea tânăr să înțeleagă implicațiile drepturilor sale, au totuși parte de aceste drepturi.
Prin urmare, trebuie să permiteți părinților să exercite aceste drepturi în numele unui copil, dacă copilul le permite să facă acest lucru, atunci când copilul nu are suficientă înțelegere pentru a-și exercita drepturile pe cont propriu sau când este evident că această exercitare se află în interesele superioare ale copilului.
Acest lucru este valabil în toate circumstanțele, inclusiv într-un context online în care consimțământul inițial pentru prelucrare a fost dat de persoana titulară a autorității părintești și nu de copil.

11.3.    Cum se aplică acest lucru în practică?

Un titular al autorității părintești poate căuta să exercite drepturile copilului în numele său.
Dacă sunteți mulțumit că copilul nu este competent și că persoana care v-a abordat are răspunderea parentală pentru copil, atunci este de obicei potrivit să lăsați titularul răspunderii părintești să exercite drepturile copilului în numele lor. Excepția la aceasta este dacă, în circumstanțele specifice ale cazului, aveți dovezi că acest lucru nu este în interesul superior al copilului.
Dacă sunteți încrezător că copilul își poate înțelege drepturile, atunci ar trebui să răspundeți în mod direct copilului. Cu toate acestea, puteți permite părinților să exercite drepturile copilului în numele lor dacă copilul autorizează acest lucru sau, din nou, dacă este evident că acest lucru este în interesul superior al copilului.
Ceea ce contează este dacă copilul este capabil să înțeleagă și să se ocupe de implicațiile exercitării drepturilor lor. De exemplu, copilul înțelege ce înseamnă să solicite o copie a datelor și cum să interpreteze informațiile pe care le primesc ca urmare a acestui lucru? La examinarea cazurilor ar trebui să țineți cont, printre altele de:

  • unde este posibil, gradul de maturitate al copilului și capacitatea acestuia de a lua astfel de decizii;
  • natura datelor cu caracter personal;
  • orice hotărâri judecătorești referitoare la accesul sau responsabilitatea părinților care pot fi aplicate;
  • orice consecință a accesului persoanelor cu responsabilitate parentală la exercitarea drepturilor copilului. Acest lucru este deosebit de important dacă au existat acuzații de abuz sau de rele tratamente;
  • orice prejudiciu adus copilului sau tânărului dacă persoanele cu responsabilitate parentală nu pot accesa aceste informații; și
  • orice opinii pe care copilul sau tânărul le are asupra faptului dacă părinții lor ar trebui să aibă acces la informații despre ei.

11.4.    Ce rol au autorității tutelare în exercitarea drepturilor copiilor?

Articolul 80 alineatul (1) din GDPR permite persoanelor vizate să numească organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern să le exercite dreptul de a:

  • a adresa o plângere ANSPDCP;
  • contesta o decizie a unei autorități de supraveghere; sau
  • să inițieze proceduri judiciare împotriva unui operator de date sau a unei persoane împuternicite.

Articolul 80 alineatul (2) din GDPR prevede că statele membre pot legifera pentru a permite acestor organisme sau organizații să exercite aceste drepturi în numele persoanelor vizate fără autorizarea persoanelor vizate.

12.        Cum se aplică dreptul de a fi uitat copiilor?

12.1.    Ce este dreptul de a fi uitat?

Articolul 17 din GDPR oferă atât adulților, cât și copiilor dreptul de a șterge datele lor personale în anumite circumstanțe specifice, în care, deși colectarea și prelucrarea inițială ar fi putut fi conforme cu GDPR, continuarea păstrării datelor lor personale împotriva dorințelor lor nu este. Este uneori cunoscut ca “dreptul de a fi uitat“. Dreptul este înlăturat dacă există anumite motive imperioase de păstrare a datelor cu caracter personal, în ciuda obiecțiilor individului. Pentru mai multe detalii, citiți acest articol.

12.2.    Ce înseamnă acest lucru în practică?

Dacă un individ dorește să ștergeți datele personale pe care le-a furnizat atunci când au fost copii, atunci ar trebui să respectați dorințele lor ori de câte ori puteți. Mai ales dacă pare probabil că aceștia și-au dat datele personale fără a înțelege pe deplin implicațiile acestei acțiuni.
GDPR încearcă să ofere un grad mai mare de control asupra datelor personale pentru persoane fizice, iar dreptul de ștergere este o parte a acestui fapt.
Cu toate acestea, dreptul de ștergere nu este un drept absolut și poate fi înlăturat în anumite circumstanțe, inclusiv în cazul în care este necesar pentru exercitarea dreptului la libertatea de exprimare și de informare. Atunci când se analizează dacă dreptul de ștergere trebuie înlăturat în acest caz, trebuie să țineți cont de faptul că libertatea de exprimare este ea însăși un drept calificat. Poate fi restricționat dacă acest lucru este necesar pentru protejarea drepturilor altora. Deci, trebuie să echilibrați dreptul la libertatea de exprimare împotriva necesității de a proteja drepturile altora.
Într-o situație în care o persoană vizată și-a furnizat datele atunci când era copil, fără a înțelege în totalitate implicațiile acestui lucru, va exista, în general, o așteptare crescută a ceea ce poate fi considerat “necesar” pentru a proteja drepturile copilului. Deci, dreptul la ștergere este mai probabil să prevaleze în această situație, decât dacă datele ar fi furnizate de un adult. Acest lucru va trebui să fie stabilit de la caz la caz.
Există și alte circumstanțe în care dreptul la ștergere poate fi restricționat, despre care am scris aici.
Trebuie să vă asigurați că procesele dvs. pentru exercitarea dreptului de ștergere sunt ușor de accesat și de înțeles de către copil. Articolul 7 (3) din GDPR prevede că “Retragerea consimțământului se face la fel de simplu ca acordarea acestuia“. Considerăm că, din punctul de vedere al bunei practici, acest principiu general ar trebui să se aplice și oricărui proces legat de dreptul de ștergere. În măsura în care este posibil, ar trebui să fie la fel de ușor pentru un copil să-și șterge datele personale, așa cum a fost pentru ei să le ofere în primul rând. De exemplu, dacă ați început să procesați fără a cere copilului să furnizeze documente de identitate originale, este de obicei disproporționat să faceți această condiție de ștergere.
Într-un context online, dashboardurile și instrumentele de preluare ar trebui să fie disponibile pentru a permite copiilor și altor utilizatori să șterge sau să elimine cu ușurință date cu caracter personal.
Dreptul la ștergere nu trebuie neapărat să fie exercitat de aceeași persoană care a acordat consimțământul inițial. În cazul în care consimțământul a fost inițial furnizat de un titular al autorității părintești, acest lucru nu înseamnă că tot ei vor trebui să solicite ștergerea. Dacă persoana vizată nu mai este copil sau dacă este acum competentă să își exercite drepturile în nume propriu, atunci ar trebui să acceptați, de obicei, solicitarea de ștergere a acestora, fără a fi nevoie să implicați părintele (sau titularul răspunderii părintești).
În mod similar, dacă un copil are competența de a-și da propriul consimțământ pentru prelucrare și pentru a-și exercita propriile drepturi de protecție a datelor, nu trebuie să acceptați o cerere de ștergere a datelor cu caracter personal de la un deținător al răspunderii părintești, fără a ține seama de dorințele copilului.
În cazurile în care există un litigiu între un copil și părintele său cu privire la faptul că datele personale ar trebui șterse sau nu sau în cazul în care un copil dorește să șterge datele cu caracter personal fără cunoștința părinților, trebuie să luați în considerare nivelul de înțelegere a copilului și, de asemenea, ceea ce este în interesul lor. Acest lucru trebuie făcut de la caz la caz. În mod similar, în cazurile în care există mai mulți titulari de răspundere părintească și nu sunt de acord cu privire la faptul că datele cu caracter personal ar trebui șterse sau nu, ar trebui să țineți cont de opiniile copilului atunci când este cazul și ar trebui să prevaleze interesul superior al copilului.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *