Kiskorúak adatkezelése GDPR megfelelő módon
A gyermekek személyes adatai emelt szintű védelmet igényelnek, mivel ez a korosztály kevésbé van tisztában a személyes adatok kezelésének kockázataival, következményeivel és az adatkezeléshez kapcsolódó jogaival. De mit is jelent a gyermekkor adatvédelmi szempontból, milyen fokozott kötelezettségeket ró az adatkezelőre és mire kell figyelni gyermekkorúak adatkezelésénél? Ezekre a kérdésekre válaszolunk blogcikkünkben.
Mikor beszélhetünk kiskorúak adatkezeléséről?
Az ENSZ Gyermekjogi Egyezménye alapján – hasonlóan a magyar szabályozáshoz, gyermeknek minősül minden 18 életév alatti személy. A GDPR rendelet egy esetben ettől eltérően, 16 éves kortól jogszerűnek minősít egyes jognyilatkozatokat: eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, elektronikus úton nyújtott szolgáltatások kapcsán végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte.
A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg. Ezt az ún. digitális hozzájárulást a szülőnek kell tehát megadnia az adatkezelés jogszerűségéhez. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél semmiképpen sem alacsonyabb életkort is megállapíthatnak.
Az online téren kívül is találkozhatunk olyan tipikus élethelyzetekkel, amikor kiskorúak adatkezelése történik. Gondoljunk csak a magántanórákra, az iskolaorvosi szolgáltatásokra, különböző nyári programokra, táborokra, szakkörökre, sportkörökre. Az ilyen tevékenységet végző szolgáltatók gyakran nem is gondolnak bele, hogy adatvédelmi szempontból különösen érzékeny területen mozognak. Sok esetben a gyermekek adatai ráadásul egyben különleges adatok is, például egészségügyi adatok, ami még tovább nehezíti a helyzetet: gyermekek egészségügyi adataival (betegségek, allergiák, érzékenységek, szedett gyógyszerek, sportsérülések, kórelőzmények) nemcsak a háziorvosok találkozhatnak, hanem a fenti körben tevékenykedő cégek, egyéni vállalkozók is.
Fényképek, videók közzététele a közösségi oldalakon, weboldalon a kiskorúakról – ugyan nem tiltott, de fokozott figyelmet érdemel. Továbbá gyakran előfordul gyermekek adatainak továbbítása másik vállalkozás felé: programszervező cég felé, étkeztetést biztosító vállalkozó felé (és máris egészségügyi adatokról beszélünk), utazásszervező cég felé – ezekről az adattovábbításokról minden esetben tájékoztatni kell az érintetteket.
18 év alatti kiskorúak adatkezelésénél, a hozzájárulás jogalap használatánál – a digitális hozzájárulás esetét leszámítva - tehát szülői hozzájárulás szükséges az adatkezelés jogszerűségéhez. Az adatkezelő felelőssége, hogy a szülői hozzájárulást beszerezze, illetve megtegye a legalapvetőbb intézkedéseket annak valódiságának ellenőrzéséhez, illetve mindezt megfelelően dokumentálja.
Jogos érdek mint jogalap?
Nem kizárt, hogy gyermekek személyes adatainak kezelésénél a jogos érdek jogalapra esik a választás. Ez nem tilos, azonban ebben az esetben különös körültekintéssel kell az érdekmérlegelési tesztet elvégezni.
Egyes esetekben jogszabályi kötelezettség a gyermekek adatait kezelni (létezik például rendelet a gyermekek nyári táboroztatásával kapcsolatban), illetve a NAIH egy korábbi határozatában jogszerűnek minősítette, hogy a digitális távoktatás keretében a tanárok kérhetik a tantermen kívüli, digitális munkarendben végzett oktatás során keletkezett fénykép és videófelvétel megküldését a diákoktól. Ilyen esetekben sem szabad azonban megfeledkezni a tájékoztatásról, mert az jogszabályi kötelezettségen alapuló adatkezelés esetén is az adatkezelő feladata.
Természetesen a gyermekeket is megilletik azok az érintetti jogok, amelyeket a GDPR rendelet meghatároz, továbbá az adatkezelési alapelveket még körültekintőbben kell betartani: a lehető legkevesebb adatot kell tárolni a gyermekekről, a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, ha az információ címzettje gyermek.
Adatvédelmi hatásvizsgálatot kötelező elvégezni, ha a gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy a közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások esetén. A kötelező eseteken kívül is ajánlott elvégezni a vizsgálatot, ha az adatkezelő úgy ítéli meg, hogy az adatkezelés kockázatos a gyermekekre nézve.
Összefoglalva a fentieket, gyermekeket érintő személyes adatok kezelése esetén
- Körültekintően határozzuk meg az adatkezelés célját és jogalapját
- Megfelelő módon és dokumentálva szerezzük be a gyermek/szülő hozzájárulását az adatkezeléshez
- Fokozottan ellenőrizzük az érintetti jogok teljesülését
- Figyeljünk a kommunikáció és a tájékoztató világos és gyermekek által is érthető szövegezésére
- Adatvédelmi hatásvizsgálat minden esetben ajánlott, a súlyos kockázatot jelentő adatkezelések esetén pedig kötelező.