Súhlas so spracúvaním osobných údajov maloletého
Nariadenie GDPR , účinné odo dňa 18.05.2018, zaviedlo jednotné pravidlá pre oblasť ochrany osobných údajov vo všetkých členských štátoch Európskej únie. Napriek tomu, že je platné a účinné už viac ako dva roky, sa v praxi dodnes stretávame s viacerými výkladovými nejasnosťami. Jednou z nejasných tém je napríklad aj spracúvanie osobných údajov maloletých osôb na základe ich súhlasu. V rámci tohto článku sa sústreďujeme najmä na to, ako Nariadenie GDPR upravuje spôsobilosť maloletých osôb a ako má prevádzkovateľ správne určiť minimálnu vekovú hranicu tak, aby bol súhlas maloletého platne daný.
Súhlas maloletého ako právny základ spracúvania osobných údajov
Súhlas so spracúvaním osobných údajov je jedným zo šiestich právnych základov spracúvania osobných údajov. Nariadenie GDPR v čl. 4 odseku 11 definuje, že „súhlas je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.“ Nariadenie GDPR nevylučuje, aby prevádzkovateľ spracúval osobné údaje maloletých osôb na základe ich súhlasu. Prevádzkovatelia sú však povinní brať do úvahy, že maloleté osoby predstavujú zvlášť zraniteľnú skupinu dotknutých osôb, ktorá si zasluhuje osobitnú ochranu, keďže deti si môžu byť v menšej miere vedomé možných rizík a predpokladá sa, že najmä si nie sú dostatočne vedomé svojich práv súvisiacich so spracúvaním osobných údajov.
V súvislosti s udelením súhlasu maloletej osoby sa však vyskytuje v praxi nejasnosť, ktorá spočíva v tom, že Nariadenie GDPR nestanovuje všeobecnú vekovú hranicu, odkedy môže neplnoletá dotknutá osoba platne udeliť súhlas so spracúvaním svojich osobných údajov. Jedinú vekovú hranicu, ktorú Nariadenie GDPR pre platnosť súhlasu upravuje, je veková hranica na poskytovanie súhlasu dieťaťa v súvislosti s poskytovaním služieb informačnej spoločnosti (viac informácií k problematike udeľovania súhlasu s poskytovaním služieb informačnej spoločnosti uvádzame nižšie). Pri posudzovaní spôsobilosti dotknutej osoby na udelenie jej súhlasu so spracúvaním osobných údajov na všetky ostatné účely je preto vzhľadom na absenciu osobitnej úpravy podľa nášho názoru potrebné aplikovať všeobecnú právnu úpravu jednotlivých členských štátov týkajúcej sa spôsobilosti osôb na právne úkony.
Spôsobilosť maloletého na udelenie súhlasu so spracúvaním jeho osobných údajov
Spôsobilosť maloletých osôb na právne úkony je v slovenskom právnom poriadku upravená v § 9 Občianskeho zákonníka . V zmysle predmetného ustanovenia majú osoby mladšie ako 18 rokov „spôsobilosť len na také právne úkony, ktoré sú svojou povahou primerané rozumovej a vôľovej vyspelosti zodpovedajúcej ich veku.“ Ak teda súhlas dotknutej osoby vyjadruje osoba mladšia ako 18 rokov (okrem osôb starších ako 16 rokov, ktoré so súhlasom súdu už uzatvorili manželstvo, a na základe tejto skutočnosti majú automaticky plnú spôsobilosť na právne úkony), je vždy potrebné vo vzťahu ku konkrétnej dotknutej osobe na základe jej mentálnych schopností, jej veku a povahe robeného právneho úkonu posudzovať jej individuálnu vyspelosť vo vzťahu k porozumeniu právneho vzťahu, do ktorého svojim konaním vstupuje. Pri udeľovaní súhlasu so spracúvaním osobných údajov by tak mala rozumieť podmienkam takéhoto spracúvania a zároveň ich s vedomím akceptovať. V prípade, ak maloletá osoba nie je vzhľadom na svoju rozumovú a vôľovú vyspelosť spôsobilá na udelenie súhlasu, tak súhlas so spracúvaním osobných údajov v mene maloletého udelí, prípadne schváli jeho zákonný zástupca.
Z vyššie uvedeného vyplýva, že Občiansky zákonník pripúšťa, aby maloleté osoby boli spôsobilé na určité právne úkony. Vzhľadom na absentujúcu právnu úpravu ohľadom určenia konkrétnej vekovej hranice spôsobilosti maloletých na právne úkony súvisiace so spracúvaním osobných údajov, je teda na prevádzkovateľovi aby určil, kedy je maloletá dotknutá osoba spôsobilá na udelenie jej súhlasu so spracúvaním osobných údajov s prihliadnutím na konkrétnu povahu spracúvania osobných údajov. Vo všeobecnosti máme zároveň za to, že prevádzkovateľ by sa pri stanovení konkrétnej vekovej hranice nemal príliš odkloniť od jedinej Nariadením GDPR stanovenej vekovej hranice, t.j. 16 rokov.
Prevádzkovateľ podľa nášho názoru môže vekovú hranicu na platné udelenie súhlasu so spracúvaním osobných údajov stanoviť aj nižšie ako 16 rokov, ak je to vhodné vzhľadom na povahu a účel spracúvaniu osobných údajov a ak možno spravodlivo predpokladať, že dotknutá osoba bude rozumieť jednotlivým skutočnostiam súvisiacich so spracúvaním osobných údajov. Príkladom spracúvania osobných údajov založenom na validnom súhlase maloletej osoby môže byť súhlas so spracúvaním osobných údajov maloletej osoby poskytnutý v súvislosti s pracovnoprávnym vzťahom (samozrejme prevádzkovateľ aplikuje právny základ súhlasu len vtedy, ak nie je možné aplikovať iný právny základ spracúvania osobných údajov, ako napríklad plnenie zákonnej povinnosti prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) GDPR). Vzhľadom na skutočnosť, že Zákonník práce stanovuje, že fyzická osoba nadobúda pracovnoprávnu subjektivitu ukončením povinnej školskej dochádzky a dovŕšením pätnásteho roku veku, je možné predpokladať, že aj súhlas maloletého súvisiaci s výkonom jeho pracovnej činnosti poskytnutý napr. za účelom zverejnenia jeho fotografie na webovej stránke zamestnávateľa, bude platný, keďže možno spravodlivo predpokladať dostatočnú vyspelosť maloletého na tento účel.
Služby informačnej spoločnosti a súhlas dieťaťa so spracúvaním osobných údajov
V zmysle vyššie uvedeného možno konštatovať, že Nariadenie GDPR nestanovuje všeobecnú minimálnu vekovú hranicu dotknutej osoby, nevyhnutnú pre platnosť súhlasu maloletej osoby so spracúvaním osobných údajov, avšak stanovuje minimálnu vekovú hranicu osoby potrebnú na platné udelenie súhlasu v súvislosti so službami informačnej spoločnosti. Nariadenie GDPR stanovuje, že spracúvanie osobných údajov maloletých pri službách informačnej spoločnosti (napríklad pri vytvorení osobného alebo užívateľského profilu, pri nákupe v elektronickom obchode, pri využívaní rôznych online služieb) bude zákonné len vtedy, ak má maloletá osoba aspoň 16 rokov. Členské štáty majú zároveň možnosť svojimi právnymi predpismi určiť nižšiu vekovú hranicu, ktorá však nemôže byť nižšia ako 13 rokov. Slovenská republika vekovú hranicu stanovenú Nariadením GDPR nemenila a ponechala ju na 16 rokoch dieťaťa, avšak napríklad Česká republika stanovila vekovú hranicu na 15 rokov. V prípade, ak prevádzkovateľ uskutočňuje cezhraničné spracúvanie, je možné, že sa budú naňho vzťahovať aj právne predpisy týkajúce sa ochrany osobných údajov viacerých členských štátov, pričom táto skutočnosť bude závisieť od toho, čo zakladá pôsobnosť konkrétneho právneho predpisu členského štátu ako napr. občianstvo dotknutej osoby, či umiestnenie prevádzky prevádzkovateľa.
V prípade, ak má dieťa menej ako 16 rokov, udeľuje súhlas v mene osoba, ktorá vo vzťahu k maloletému vykonáva rodičovské práva a povinnosti, t.j. zákonný zástupca. Takouto osobou môže byť v zmysle slovenského právneho poriadku rodič, poručník, opatrovník alebo kolízny opatrovník. Súhlas zákonného zástupcu nie je v zmysle Nariadenia GDPR potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu. Takýmito službami sú najmä detské linky dôvery.
Povinnosť prevádzkovateľa overiť zákonnosť súhlasu
Prevádzkovateľ by mal zároveň vynaložiť primerané úsilie, aby si overil, či súhlas skutočne udelila osoba, ktorá má aspoň 16 rokov. Overenie dostatočného veku maloletého prevádzkovateľom je dôležité najmä z dôvodu uistenia sa, že spracúvanie osobných údajov je zákonné, nakoľko ak by maloletý nedosiahol požadovanú vekovú hranicu, tak prevádzkovateľ by spracúval osobné údaje nezákonne, keďže spracúvanie by bolo vykonávané bez platného právneho základu. V prípade kontroly by mal byť prevádzkovateľ schopný preukázať dozornému orgánu, že s prihliadnutím na možné riziká pri spracúvaní osobných údajov, ako aj dostupnú technológiu vyvinul primerané úsilie, aby overil, či súhlas skutočne udelila osoba, ktorá dosiahla aspoň 16 rokov alebo overil, že súhlas buď schválil, alebo vyjadril jej zákonný zástupca.
Záver
Vzhľadom na skutočnosť, že Nariadenie GDPR, Zákon o ochrane osobných údajov a ani Občiansky zákonník nestanovujú jednoznačnú všeobecnú vekovú hranicu dotknutej osoby potrebnú na to, aby bol súhlas so spracúvaním osobných údajov maloletej osoby platný je potrebné, aby prevádzkovateľ vzal pri posudzovaní platností súhlasu maloletej osoby do úvahy nasledovné:
1. Dotknutá osoba, ktorá je staršia ako 16 rokov je spôsobilá na udelenie súhlasu so spracúvaním jej osobných údajov vtedy, ak sa jedná o súhlas poskytnutý v súvislosti so službami informačnej spoločnosti. Ak dotknutá osoba nedosiahla 16 rokov, tak súhlas so spracúvaním jej osobných údajov na tento účel musí udeliť / schváliť jej zákonný zástupca.
2. Pri vyhodnocovaní platnosti súhlasov so spracúvaním osobných údajov osôb mladších ako 18 rokov v akýchkoľvek iných prípadoch je potrebné vždy zvážiť, či konkrétny udelený súhlas zodpovedá rozumovej a vôľovej vyspelosti maloletého. Ak dotknutá osoba nie je spôsobilá na udelenie súhlasu so spracúvaním jej osobných údajov, tak tento súhlas musí udeliť /schváliť jej zákonný zástupca.