Trenutno stanje
U usporedbi s Direktivom 95/46/EZ koja je trenutno na snazi i uopće se ne bavi problematikom djece, GDPR je toj temi posvetio dosta pažnje. U Direktivi 95/46/EZ nalaže se propisna i poštena obrada podataka, međutim nije posve jasno što to obradu podataka djece čini poštenom i u kojoj se mjeri takvi podaci smiju obrađivati.
Američki propisi donekle su olakšali situaciju. Američki zakon COPPA iz 1998. zahtijeva privolu roditelja ako dijete mlađe od 13 godina želi napraviti račun ili koristiti određene mrežne usluge. Budući da većina relevantnih tvrtki koje pružaju takve usluge posluju diljem svijeta, najjednostavnije im je bilo taj sustav primijeniti na cijeli svijet, tako da isti zahtjevi uglavnom važe i na maloljetnike izvan SAD-a.
Facebook, naprimjer, traži privolu roditelja ako se dijete mlađe od 13 godina pokuša registrirati. No problem kod takvih propisa jest nepostojanje pouzdanog mehanizma za verifikaciju da je privola zaista valjana.
Dob za davanje privole u GDPR-u
U čl. 8. nalaze se uvjeti za dobivanje privole u svrhu korištenja osobnih podataka djece. Dob propisana u GDPR-u do koje je potreban pristanak roditelja iznosi 16 godina. Dakle, obrada podataka djece ispod 16 godina nije dozvoljena bez privole roditelja.
Ipak, situacija je tu malo zamršenija jer GDPR dozvoljava državama da smanje tu dobnu granicu, ali ne ispod 13 godina. Predviđamo da će većina država ipak ostaviti granicu od 16 godina. Kao i kod COPPA-e, i dalje nema nekog mehanizma koji bi spriječio djecu da lažu o svojoj dobi.
Naravno, važeći su i propisi država članica o stupanju u ugovore i poslovne odnose, koji postoje u zakonu svake zemlje članice i izvan su opsega GDPR-a.
Definicija u GDPR-u
U GDPR-u se naglašava da djeca „zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka” jer su „manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka”. GDPR je osobito restriktivan kad se radi o korištenju njihovih osobnih podataka u marketinške svrhe i za stvaranje profila – što je slučaj da velikom broju društvenih mreža.
Djeca se opisuju kao osobito ranjive fizičke osobe čiji se podaci moraju obrađivati s osobitom pažnjom, osobito ako se obrađuju podaci o zdravstvenom ili ekonomskom stanju, interesima, ili se koriste za izradu probila.
Ipak, pojam „djeteta“ u GDPR-u se nigdje izričito ne definira, stoga smatramo da je djetetom za potrebe GDPR-a najbolje smatrati sve osobe mlađe od 16 godina. (Premda su većina već zapravo tinejdžeri).
GDPR predstavlja sjajan korak naprijed, ali roditeljski nadzor ipak je najvažniji.
Komunikacija s djecom
Budući da je potrebna dodatna pažnja prilikom obrade podataka djece kao i tijekom dobivanja privole, u GDPR-u se navode smjernice za komunikaciju s djecom.
Sve vrste komunikacije upućene djeci moraju biti sročene na jednostavan, lako razumljiv i jasan način, ali istovremeno moraju realno prikazivati stvarne činjenice.
Ograničenja obrade
Ograničenja obrade važe za sve pojedince. Podaci se smiju pohranjivati samo ako je to prijeko potrebno za ispunjavanje prvotne svrhe ili ako je to zakonom propisano. U GDPR-u se jasno napominje da tvrtke koje žele nastaviti s obradom podataka za svoj legitiman interes moraju odvagnuti potencijalne rizike za ispitanike i svoje interese. Ako su rizici veći od možebitne koristi, obrada nije dozvoljena.
Kad se radi o djeci, smatraju se skupinom čiji će se podaci teško, ako i ikada, moći obrađivati temeljem legitimnih interesa. Letvica za obradu podataka djece postavljena je vrlo visoko.
Valja napomenuti i pravo djece na zaborav – uglavnom je vrlo teško opravdati zadržavanje podataka djece ako zaprimite zahtjev za njihovo brisanje. To stoji čak i ako se dijete u međuvremenu zakonski počelo smatrati odraslom osobom. I takvi se podaci na zahtjev moraju brisati.
Je li GDPR cjelovito rješenje?
Ukupno gledano, unatoč dobrim mjerama koje GDPR donosi, i dalje postoje određene slabosti i to osobito kod definiranja pojma djeteta i utvrđivanja valjanosti privole. I dalje je, naime, vrlo teško uvjeriti se u dob ispitanika i istinitost privole. Ne postoje sigurnosne mjere kojima bi se mogla utvrditi točnost primljenih podataka.
Međutim, GDPR je i dalje u svakom pogledu napredniji od prethodnog zakona te će povećati prava djece i tinejdžera na Internetu, kao i njihovu sigurnost.
