Problematika samostalnosti djece u digitalnom je društvu postala još očitija. Istraživanja pokazuju da trećinu korisnika interneta čine maloljetnici. Za njih je poznato da su skloniji impulzivnijem ponašanju i često ne razumiju posljedice svojih događaja. To postaje još očitije na internetu, jer dosta tvrtki upravo profitira na osobnim podacima koje im maloljetnici tako rado ostavljaju. U tome ne pomažu politike privatnosti web-stranica koje nisu sročene na razumljiv način, pa je i odraslima teško utvrditi što će se s njihovim podacima događati, a kamoli djeci.
Zakonodavac je u GDPR-u naumio ispraviti te „krive Drine“, no situacija i dalje nije idealna. U ovome ćemo članku zato istražiti koji su to novi uvjeti i na što vi, kao tvrtka voditelj obrade, morate pripaziti.
Djeca na internetu: u čemu je problem?
Djeca su na internetu sklona impulzivnom ponašanju i eksperimentiranju s pregršt usluga i stranica, što ih čini osobito ranjivom skupinom osoba jer svoje osobne podatke ostavljaju na puno mjesta bez svijesti o rizicima. Nisu sposobna evaluirati potencijalne prijetnje i posljedice koje bi to moglo imati, osobito na duže staze.
Iz tog razloga djeca se smatraju skupinom kojoj je potrebna osobita zaštita, s čime se slažu i mišljenja većine Europljana u ispitivanjima javnog mnijenja.
Danas, nažalost, većina web stranica ne nudi obavijesti prilagođene djeci kojima bi se objasnio način korištenja njihovih podataka. Neke ni ne provjeravaju dob i djeci dozvoljavaju neometan pristup, mada ne bi smjeli.
Tko se smatra djetetom u smislu GDPR-a?
Ovdje je GDPR spravom doživio dosta kritika, jer je sama definicija pojma djeteta u GDPR-u poprilično manjkava. Do sada se uvelike koristila „uvezena“ odredba američkog Zakona o zaštiti privatnosti djece (COPPA) koja je dob pristanka postavila na 13 godina, međutim Opća uredba to mijenja i granicu postavlja na 16 godina.
Države članice mogu je spustiti na 13, ali tu su mogućnost iskoristile Češka, Irska, Danska, Estonija, Portugal, Španjolska, Švedska i Ujedinjeno Kraljevstvo. Hrvatska ostaje pri propisanoj dobi iz GDPR-a od 16 godina.
Muke po definicijama
Ipak, GDPR ne definira točno tko se smatra „djetetom“, jer to utječe na ostale propise poput onih o zabrani izrade profila u slučaju djece. Pretpostavka je da se definicija implicitno izvodi iz dobne granice od 16 godina, a ne od opće granice za maloljetnike od 18 godina.
Neki su kritičari napomenuli da podizanje dobne granice zapravo ne čini ništa za rješavanje temeljnog problema, a to je nemogućnost provjere valjanosti privole. Ipak, i sama dobna granica poprilično je sporna. Može li se petnaestogodišnjak zaista smatrati djetetom, u istoj kategoriji kao i desetogodišnjak? GDPR ne daje odgovor na to pitanje. Više o toj problematici pročitajte ovdje.
Internet je sjajno mjesto za zabavu i učenje. Neka takvim i ostane!
Uvjeti obrade
Djeca sama po sebi ne mogu dati privolu za korištenje svojih podataka. Potrebna je roditeljska privola, u suprotnom podatke ne smijete obrađivati.
Obavijesti o privoli, tj. svrhama korištenja podataka moraju biti pisane jasnim, lako razumljivim jezikom prema dobi osobe kojoj se obraćate. Ne smijete izostavljati relevantne informacije.
Prava djece „jača“ su od vaših prava i prava ostalih ispitanika. U većini slučajeva obradu podataka djece teško ćete moći opravdati legitimnim interesom. Ako dobijete zahtjev za brisanjem osobnih podataka djeteta, trebali biste bez odlaganja po njemu postupiti jer je vrlo mali broj slučajeva u kojima biste zahtjev mogli osporiti.
Preporučuje se da prema podacima djece ne donosite automatizirane odluke, a izrada profila je zabranjena.
Provjera roditelja
Kao voditelj obrade dužni ste, prema čl. 8., poduzeti razumne mjere za provjeru valjanosti privole, tj. je li je zaista dao roditelj. U načelu, ako se na vašu stranicu ili uslugu prijave osobe mlađe od 16 godina, potrebna je privola roditelja. U tu biste svrhu mogli tražiti adresu e-pošte roditelja na koju biste poslali verifikacijsku poruku. Možete tražiti i presliku osobne iskaznice, mada je jasno kako sve te metode nisu najsigurnije. Djeca su dosjetljiva, pa ni nakon toga ne možete biti sto posto sigurni da je roditelj dao privolu.
No time zadovoljavate formu GDPR-a (poduzeli ste razumne mjere) pa vas to ne treba previše dirati, ako već ne dira zakonodavce. Pripazite prilikom pohranjivanja podataka (s osobnih iskaznica i sl.) jer se može raditi o zaštićenim kategorijama osobnih podataka.
Niti privola niti provjera identiteta roditelja nije potrebna kad se dijete obraća izravno uslugama za psihološko savjetovanje i preventivu namijenjenima djeci (Plavi telefon, Hrabri telefon, i sl.)
Manjak usklađenosti
Pripazite na razlike u dobi za roditeljsku privolu diljem EU-a, kako smo naveli u tekstu iznad. 16 godina je granica za koju možete u potpunosti biti sigurni da zadovoljava GDPR. Možete tu dob i smanjiti, ali onda morate pripaziti na zemlju iz koje korisnik potječe. Povremeno provjerite i ažurirajte evidencije o tome. Uskoro bi se trebalo saznati kako je koja država odlučila postaviti granicu, tj. nakon što se usvoje zakoni o implementaciji Opće uredbe o zaštiti podataka.
Upozoravamo vas da se ovi uvjeti primjenjuju samo na online usluge. Za prikupljanje podataka koje se ne odvaja putem interneta važe propisi svake od zemalja članica.
Zaključak
GDPR nije učinio dovoljno po pitanju usklađivanja propisa vezanih uz djecu, a pitanje je je li uopće trebao. Povišena granična dob, smatraju kritičari, samo je zakomplicirala situaciju, a od toga korist neće imati ni tvrtke ni djeca.
Ostaje nam da vidimo kako će u praksi funkcionirati ovi propisi. Nadamo se da nadležna tijela na umu imaju neko rješenje, jer je čl. 8. „preživio“ sve do sad, iako je bilo konkretnih zahtjeva za njegovim brisanjem.
Za sada, naš je savjet da podatke djece obrađujete u najmanjoj mogućoj mjeri, uvijek tražite privolu roditelja te da ih tretirate kao zaštićenu kategoriju podataka. Nikad se nemojte pozivati na legitimni interes prilikom obrade podataka djece. Samo te mjere možda budu dovoljne da se u tom pogledu uvelike uskladite s GDPR-om.
