Vigyázat, gyermekkel vagyok!

A gyermekek személyes adatai kezelésének sajátos szabályai

2019. szeptember 12. - KLART

Az adatvédelmi szabályozás egyik alapelve szerint a gyermekek személyes adatai különös védelemben részesülnek, mivel a gyermekek még kevésbé vannak tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal [GDPR (38) preambulumbekezdés]. Ezt szem előtt tartva a GDPR, illetőleg a GDPR alkalmazása során is figyelembe veendő joggyakorlat több vonatkozásban külön követelményeket támaszt a gyermekek személyes adatainak kezelése kapcsán.

Megjegyezzük, miközben a GDPR célja a gyermekek védelmi szintjének emelése volt, ez sajátos módon jelentkezik hazánkban a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatásokkal összefügésben. Ha az adatkezelés jogalapja az érintett hozzájárulása, akkor az általános szabályok szerint a 18. életévét be nem töltött gyermekek esetén az adatkezelés jogszerűségéhez az szükséges, hogy a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló személy adja meg. Az ezen életkori határ biztosította kiemelt védelem szintjén végeredményét tekintve – a digitális környezet sajátosságaira tekintettel - enyhít a GDPR 8. cikkének (1) bekezdése, kimondva, hogy a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezeléséhez a gyermek által adott hozzájárulás akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Ha gyermekek személyes adatai kezelésének a szükségessége merül fel, akkor az adatkezelőnek igen körültekintően kell eljárnia, így különösen az alábbiakra:

  • ha az adatkezelés jogalapja az érintett (gyermek) hozzájárulása, akkor ezt a különös előírásoknak megfelelően (a megfelelő személytől, azaz általában a szülői felügyeletet gyakorlótól) kell beszerezni,
  • ha az adatkezelés jogalapja a jogos érdek, akkor az érdekmérlegelés során mindenképpen figyelembe veendő körülmény, hogy az érintettek gyermekek,
  • az átláthatóság elvének érvényesülése érdekében a gyermekeknek szóló információknak, kommunikációnak a gyermekek számára könnyen érthetőknek kell lenniük,
  • a gyermekeket érintő profilalkotás során kiemelt figyelmet kell fordítani az érintettek érdekeinek, jogainak védelmére,
  • több, gyermekeket érintő adatkezelés megkezdése előtt adatvédelmi hatásvizsgálat elvégzése szükséges (pl. diákok személyes adatainak értékelésre való felhasználása; kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése; gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában),
  • az adatvédelmi incidens miatt felmerülő kockázat felmérése során figyelembe kell venni a gyermekek sajátosságait, az incidens vonatkozásukban releváns következményeit.

A sajátos szabályok értelemezéséhez és alkalmazásához segítséget nyújthatnak a magatartási kódexek, amelyek a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlótól származó hozzájárulás kikérésének módja tárgyában pontosíthatják a GDPR előírásait.

Az alábbi táblázat áttekinti, hogy a fenti kérdések kapcsán a GDPR melyik rendelkezésének, illetve a korábbi 29. cikk szerinti munkacsoport mely iránymutatásának a figyelembe vétele ajánlott, azzal, hogy általános jelleggel utalunk a 29. cikk szerinti munkacsoportnak a gyermekek személyes adatainak védelméről szóló 2009/2. számú véleményében foglaltakra is.

Különleges szabályok GDPR rendelkezése, 29. cikk szerinti munkacsoport iránymutatása
adatkezeléshez adott hozzájárulás ha az adatkezelés jogalapja az érintett adatkezeléshez adott hozzájárulása, akkor gyermek érintett esetén különös szabályok érvényesülnek, külön előírásokkal a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése kapcsán (az életkor ellenőrzésének jelentősége, a szülői felügyeletet gyakorló szerepe, a szülői felügyeleti jog fennálltának ellenőrzése stb.)

GDPR (39) és (65) preambulumbekezdés 

GDPR 8. cikk 

a 29. cikk szerinti munkacsoport WP259 számú iránymutatása a 2016/679/EU rendelet szerinti hozzájárulásról 7.1. pont

 

érdekmérlegelés a jogos érdeken alapuló adatkezelés esetén a jogos érdeken alapuló adatkezelés megkezdését megelőzően az adatkezelő által elvégzendő érdekmérlegelés elkészítése során figyelembe veendő, hogy az érintett gyermek

GDPR 6. cikk (1) bekezdés f) pont 

a 29. cikk szerinti munkacsoport 6/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról 45. oldal

 

átláthatóság elve az átláthatóság elve alapján a kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermekek könnyen megértenek

GDPR (39) és (58) preambulumbekezdés 

GDPR 5. cikk (1) bekezdés a) pont 

a 29. cikk szerinti munkacsoport WP260 számú iránymutatása a 2016/679/EU rendelet szerinti átláthatóságról 14-16. pont

 

profilalkotás a gyermekekkel kapcsolatos profilalkotás a 29. cikk szerinti munkacsoport szerint ugyan nem esik abszolút tilalom alá, azonban e körben az adatkezelőnek megfelelő garanciákkal kell szolgálnia, védve az adatkezelés érintettjeinek, a gyermekeknek a jogait, szabadságait és jogos érdekeit

GDPR (71) preambulumbekezdés

a 29. cikk szerinti munkacsoport WP251 számú iránymutatása az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679/EU rendelet alkalmazásához 30-31. oldal

 

adatvédelmi hatásvizsgálat a gyermekeket érintő adatkezelések közül több szerepel azon, az adatvédelmi felügyeleti hatóság által közzétett listán, amely meghatározza, hogy mely esetekben kell adatvédelmi hatásvizsgálatot végezni

GDPR (84) és (90) preambulumbekezdés 

GDPR 35. cikk (4) bekezdés.

 

adatvédelmi incidens

az adatkezelőnek az érintettek vonatkozásában az adatvédelmi incidens miatt felmerülő kockázat felmérése során figyelembe kell vennie az adatvédelmi incidens konkrét körülményeit, egyebek között az érintettek, adott esetben a gyermekek sajátosságait (pl. az irányukban megnyilvánuló internetes zaklatás felnőttektől eltérő következményeit), szem előtt tartva, hogy ha az adatvédelmi incidens a kiszolgáltatott helyzetben lévő személyeknek minősülő gyermekek személyes adatait érinti, akkor a gyermekek ennek következtében nagyobb veszélybe kerülhetnek, az adatvédelmi incidens rájuk erőteljesebb hatással lehet

a gyermek érintettek adatvédelmi incidensről történő tájékoztatása során a tájékoztatásnak a gyermekek számára könnyen érthetőnek kell lennie

a 29. cikk szerinti munkacsoport WP250 számú iránymutatása az adatvédelmi incidensek 2016/679/EU rendelet szerinti bejelentéséről, 25. és 27. oldal
magatartási kódex

a magatartási kódexek egyebek között a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja tárgyában pontosíthatják a GDPR alkalmazását

GDPR 40. cikk (2) bekezdés g) pont

 

 

 

A gyermekeket érintő adatkezelések sajátos szabályairól bővebben ismerteti kollégánk, dr. Zavodnyik József tanulmánya:

Zavodnyik József: A gyermekkorú fogyasztók személyes adatainak védelme, in. Szikora Veronika – Árvai Zsuzsanna: Újratervezés –  Fogyasztói szabályozási modellek, digitalizáció, adatvédelem, Debreceni Egyetem Állam- és Jogtudományi Kar, Debrecen, 2019.

A NAIH GDPR-ral kapcsolatos állásfoglalásainak áttekintése az Ügyvédi Társulásunk tagja által szerkesztett kötetben

2018. május 25-től alkalmazandók az Európai Parlamentnek és a Tanácsnak a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EK rendelete (általános adatvédelmi rendelet, GDPR).

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018 márciusában kezdte el közzétenni az általános adatvédelmi rendeletet érintő állásfoglalásait. Ezek folyamatos figyelemmel kísérése segítheti az adatkezelőket, hogy adatkezelési tevékenységüket a jogszabályi előírásokkal összhangban folytassák. Őket kívánja támogatni a Magyar Közlöny Lap- és Könyvkiadó Kft. gondozásában megjelent kötet (https://www.mhk.hu/kiadvanyaink).

A kiadvány rendeltetése nem az, hogy az általános adatvédelmi rendeletet részletesen elemezze, minden felmerülő kérdésre választ adjon. A cél a NAIH általános adatvédelmi rendelettel kapcsolatos, 2018-ban közzétett állásfoglalásainak könnyebb megismerése. Ennek érdekében az összeállítás tematikusan, témakörönként ismerteti a NAIH releváns állásfoglalásait.

Chatbotom van, és nem félek használni!

avagy hétköznapi robotika az új adatvédelmi rendelet előszobájában

 

klart-image-1244x410-10.jpgNapjainkban egyre többen fedezik fel az üzenetküldő platformok keretében működő chatbotok kommunikációs előnyeit, melyen keresztül hatékonyan érhetőek el a felhasználók. Az eszköz használatakor azonban biztosítani kell az ügyfelek adatvédelmi jogait és informatikai védelmét is. Garantálni kell, hogy adataik nem kerülnek rossz kezekbe, és csak arra a célra használják fel ezeket, amelyhez hozzájárultak.

Tovább

Jogszerűen ellenőrizhetők az állásra jelentkezők közösségi oldalon megosztott adatai?

klart-image-1244x410-5.jpg

Napjaink digitális világában szinte ellenállhatatlannak tűnik a kísértés, hogy a leendő munkatársakat egy egyszerű Google keresés segítségével, vagy a közösségi oldalon található profiloldalon fellelhető információk alapján ellenőrizzük, hiszen a pályázó online aktivitásának áttekintésével számos – az álláspályázatra elküldött önéletrajzban nem szereplő – információ birtokába juthatunk. Ezzel összefüggésben HR, fejvadász és munkáltatói körökben napi szinten vetődik fel a kérdés, hogy az állásra jelentkező pályázó közösségi oldalakon elérhető adatai vajon felhasználhatók-e a felvételi folyamat során.

Tovább

Fotózz szabályosan! - 8 hasznos tanács rendezvényszervezőknek

avagy a képmásokhoz fűződő személyiségi jogok egy fotós objektívén keresztül

my_photography.jpg

A képmás- és hangfelvételek felhasználása kapcsán egyre gyakrabban hallunk visszaélésekről: titkos hangfelvételek készítése, fényképek feltöltése az internetre a szereplők hozzájárulása nélkül. Cikkünkben azt a kérdéskört vizsgáljuk, hogy egy nyilvános rendezvényen a szervezők hogyan készíthetnek szabályosan fotókat és hangfelvételt, hogyan kérhetik a résztvevők beleegyezését ehhez, és hogyan használhatják fel jogszerűen az elkészült anyagokat.

 

Tovább

Következetesebb fellépés és szigorúbb büntetések várnak az adatvédelmi szabályokat megsértő adatkezelőkre az online marketing területén is

klart-image-1244x410-4.jpg

A webes tartalomszolgáltatók többsége jogsértő módon tárolja és használja a látogatók adatait, sokan szabálytalanul építik fel kampányaikat a közösségi oldalakon is. Az adatvédelmi szabályozás megpróbálja követni a technológiai újítások teremtette kihívásokat, ezért a 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

Tovább

Az USA helyett az EU-ba vihetik személyes adatainkat a cégek

Fordulópontot hozhat a felhőszolgáltatások számára az Európai Bíróság közelmúltbéli ítélete

klart-image-1244x410-6.jpg

Az európai felhőszolgáltatók és szerverparkok felvirágzásához vezethet az Európai Unió Bíróságának nagy jelentőségű adatvédelmi határozata, amely kimondta, hogy az amerikai jog nem nyújt megfelelő védelmet a személyes adatok számára. A döntés miatt az európai – és így a magyar – cégeknek ugyanis érdemes lesz mérlegelniük, hogy az adatkezelésüket teljes egészében az EU területére helyezzék át.

Tovább

Vállalkozások és a felhő: erre érdemes figyelni!

A felhő alapú szolgáltatások előretörését csak lemaradva követi az adatvédelmi szabályozás

klart-image-1244x410-8.jpg

Noha Magyarországon a vállalkozások 8 százaléka használ már felhő alapú informatikai szolgáltatásokat, az Európai Unióban pedig átlagosan 19 százalék ez az arány, a technológia elterjedtségéhez képest a jogi szabályozás még hiányos és adatvédelmi kérdéseket is felvet – hívja fel a figyelmet a KLART Szabó Legal ügyvédi iroda. Odafigyeléssel, kellő körültekintéssel azonban kezelhetők a felhő használatával felmerülő kihívások, így az rugalmas és költséghatékony támogatást nyújthat a cégek üzletmenetének.

 

Tovább