A gyermekek személyes adatai kezelésének sajátos szabályai
Az adatvédelmi szabályozás egyik alapelve szerint a gyermekek személyes adatai különös védelemben részesülnek, mivel a gyermekek még kevésbé vannak tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal [GDPR (38) preambulumbekezdés]. Ezt szem előtt tartva a GDPR, illetőleg a GDPR alkalmazása során is figyelembe veendő joggyakorlat több vonatkozásban külön követelményeket támaszt a gyermekek személyes adatainak kezelése kapcsán.
Megjegyezzük, miközben a GDPR célja a gyermekek védelmi szintjének emelése volt, ez sajátos módon jelentkezik hazánkban a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatásokkal összefügésben. Ha az adatkezelés jogalapja az érintett hozzájárulása, akkor az általános szabályok szerint a 18. életévét be nem töltött gyermekek esetén az adatkezelés jogszerűségéhez az szükséges, hogy a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló személy adja meg. Az ezen életkori határ biztosította kiemelt védelem szintjén végeredményét tekintve – a digitális környezet sajátosságaira tekintettel – enyhít a GDPR 8. cikkének (1) bekezdése, kimondva, hogy a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezeléséhez a gyermek által adott hozzájárulás akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Ha gyermekek személyes adatai kezelésének a szükségessége merül fel, akkor az adatkezelőnek igen körültekintően kell eljárnia, így különösen az alábbiakra:
- ha az adatkezelés jogalapja az érintett (gyermek) hozzájárulása, akkor ezt a különös előírásoknak megfelelően (a megfelelő személytől, azaz általában a szülői felügyeletet gyakorlótól) kell beszerezni,
- ha az adatkezelés jogalapja a jogos érdek, akkor az érdekmérlegelés során mindenképpen figyelembe veendő körülmény, hogy az érintettek gyermekek,
- az átláthatóság elvének érvényesülése érdekében a gyermekeknek szóló információknak, kommunikációnak a gyermekek számára könnyen érthetőknek kell lenniük,
- a gyermekeket érintő profilalkotás során kiemelt figyelmet kell fordítani az érintettek érdekeinek, jogainak védelmére,
- több, gyermekeket érintő adatkezelés megkezdése előtt adatvédelmi hatásvizsgálat elvégzése szükséges (pl. diákok személyes adatainak értékelésre való felhasználása; kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése; gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában),
- az adatvédelmi incidens miatt felmerülő kockázat felmérése során figyelembe kell venni a gyermekek sajátosságait, az incidens vonatkozásukban releváns következményeit.
A sajátos szabályok értelemezéséhez és alkalmazásához segítséget nyújthatnak a magatartási kódexek, amelyek a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlótól származó hozzájárulás kikérésének módja tárgyában pontosíthatják a GDPR előírásait.
Az alábbi táblázat áttekinti, hogy a fenti kérdések kapcsán a GDPR melyik rendelkezésének, illetve a korábbi 29. cikk szerinti munkacsoport mely iránymutatásának a figyelembe vétele ajánlott, azzal, hogy általános jelleggel utalunk a 29. cikk szerinti munkacsoportnak a gyermekek személyes adatainak védelméről szóló 2009/2. számú véleményében foglaltakra is.
Különleges szabályok | GDPR rendelkezése, 29. cikk szerinti munkacsoport iránymutatása | |
adatkezeléshez adott hozzájárulás | ha az adatkezelés jogalapja az érintett adatkezeléshez adott hozzájárulása, akkor gyermek érintett esetén különös szabályok érvényesülnek, külön előírásokkal a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése kapcsán (az életkor ellenőrzésének jelentősége, a szülői felügyeletet gyakorló szerepe, a szülői felügyeleti jog fennálltának ellenőrzése stb.) | GDPR (39) és (65) preambulumbekezdés GDPR 8. cikk a 29. cikk szerinti munkacsoport WP259 számú iránymutatása a 2016/679/EU rendelet szerinti hozzájárulásról 7.1. pont |
érdekmérlegelés a jogos érdeken alapuló adatkezelés esetén | a jogos érdeken alapuló adatkezelés megkezdését megelőzően az adatkezelő által elvégzendő érdekmérlegelés elkészítése során figyelembe veendő, hogy az érintett gyermek | GDPR 6. cikk (1) bekezdés f) pont a 29. cikk szerinti munkacsoport 6/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról 45. oldal |
átláthatóság elve | az átláthatóság elve alapján a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermekek könnyen megértenek | GDPR (39) és (58) preambulumbekezdés GDPR 5. cikk (1) bekezdés a) pont a 29. cikk szerinti munkacsoport WP260 számú iránymutatása a 2016/679/EU rendelet szerinti átláthatóságról 14-16. pont |
profilalkotás | a gyermekekkel kapcsolatos profilalkotás a 29. cikk szerinti munkacsoport szerint ugyan nem esik abszolút tilalom alá, azonban e körben az adatkezelőnek megfelelő garanciákkal kell szolgálnia, védve az adatkezelés érintettjeinek, a gyermekeknek a jogait, szabadságait és jogos érdekeit | GDPR (71) preambulumbekezdésa 29. cikk szerinti munkacsoport WP251 számú iránymutatása az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679/EU rendelet alkalmazásához 30-31. oldal |
adatvédelmi hatásvizsgálat | a gyermekeket érintő adatkezelések közül több szerepel azon, az adatvédelmi felügyeleti hatóság által közzétett listán, amely meghatározza, hogy mely esetekben kell adatvédelmi hatásvizsgálatot végezni | GDPR (84) és (90) preambulumbekezdés GDPR 35. cikk (4) bekezdés. |
adatvédelmi incidens | az adatkezelőnek az érintettek vonatkozásában az adatvédelmi incidens miatt felmerülő kockázat felmérése során figyelembe kell vennie az adatvédelmi incidens konkrét körülményeit, egyebek között az érintettek, adott esetben a gyermekek sajátosságait (pl. az irányukban megnyilvánuló internetes zaklatás felnőttektől eltérő következményeit), szem előtt tartva, hogy ha az adatvédelmi incidens a kiszolgáltatott helyzetben lévő személyeknek minősülő gyermekek személyes adatait érinti, akkor a gyermekek ennek következtében nagyobb veszélybe kerülhetnek, az adatvédelmi incidens rájuk erőteljesebb hatással leheta gyermek érintettek adatvédelmi incidensről történő tájékoztatása során a tájékoztatásnak a gyermekek számára könnyen érthetőnek kell lennie | a 29. cikk szerinti munkacsoport WP250 számú iránymutatása az adatvédelmi incidensek 2016/679/EU rendelet szerinti bejelentéséről, 25. és 27. oldal |
magatartási kódex | a magatartási kódexek egyebek között a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja tárgyában pontosíthatják a GDPR alkalmazását | GDPR 40. cikk (2) bekezdés g) pont |
A gyermekeket érintő adatkezelések sajátos szabályairól bővebben ismerteti kollégánk, dr. Zavodnyik József tanulmánya:
Zavodnyik József: A gyermekkorú fogyasztók személyes adatainak védelme, in. Szikora Veronika – Árvai Zsuzsanna: Újratervezés – Fogyasztói szabályozási modellek, digitalizáció, adatvédelem, Debreceni Egyetem Állam- és Jogtudományi Kar, Debrecen, 2019.