Árajánlat

Kiskorúak adatkezelése GDPR megfelelő módon

Dr. Káldi Ivett
-
2022.12.01.

A gyermekek személyes adatai emelt szintű védelmet igényelnek, mivel ez a korosztály kevésbé van tisztában a személyes adatok kezelésének kockázataival, következményeivel és az adatkezeléshez kapcsolódó jogaival. De mit is jelent a gyermekkor adatvédelmi szempontból, milyen fokozott kötelezettségeket ró az adatkezelőre és mire kell figyelni gyermekkorúak adatkezelésénél? Ezekre a kérdésekre válaszolunk blogcikkünkben. 

Mikor beszélhetünk kiskorúak adatkezeléséről?

Az ENSZ Gyermekjogi Egyezménye alapján – hasonlóan a magyar szabályozáshoz, gyermeknek minősül minden 18 életév alatti személy. A GDPR rendelet egy esetben ettől eltérően, 16 éves kortól jogszerűnek minősít egyes jognyilatkozatokat: eszerint hozzájáruláson alapuló adatkezelés esetén, a közvetlenül gyermekeknek kínált, elektronikus úton nyújtott szolgáltatások kapcsán végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte.

A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg. Ezt az ún. digitális hozzájárulást a szülőnek kell tehát megadnia az adatkezelés jogszerűségéhez. A tagállamok ugyanakkor ennél alacsonyabb, de a 13. életévnél semmiképpen sem alacsonyabb életkort is megállapíthatnak.

Az online téren kívül is találkozhatunk olyan tipikus élethelyzetekkel, amikor kiskorúak adatkezelése történik. Gondoljunk csak a magántanórákra, az iskolaorvosi szolgáltatásokra, különböző nyári programokra, táborokra, szakkörökre, sportkörökre. Az ilyen tevékenységet végző szolgáltatók gyakran nem is gondolnak bele, hogy adatvédelmi szempontból különösen érzékeny területen mozognak. Sok esetben a gyermekek adatai ráadásul egyben különleges adatok is, például egészségügyi adatok, ami még tovább nehezíti a helyzetet: gyermekek egészségügyi adataival (betegségek, allergiák, érzékenységek, szedett gyógyszerek, sportsérülések, kórelőzmények) nemcsak a háziorvosok találkozhatnak, hanem a fenti körben tevékenykedő cégek, egyéni vállalkozók is.

Fényképek, videók közzététele a közösségi oldalakon, weboldalon a kiskorúakról – ugyan nem tiltott, de fokozott figyelmet érdemel. Továbbá gyakran előfordul gyermekek adatainak továbbítása másik vállalkozás felé: programszervező cég felé, étkeztetést biztosító vállalkozó felé (és máris egészségügyi adatokról beszélünk), utazásszervező cég felé – ezekről az adattovábbításokról minden esetben tájékoztatni kell az érintetteket.

18 év alatti kiskorúak adatkezelésénél, a hozzájárulás jogalap használatánál – a digitális hozzájárulás esetét leszámítva - tehát szülői hozzájárulás szükséges az adatkezelés jogszerűségéhez. Az adatkezelő felelőssége, hogy a szülői hozzájárulást beszerezze, illetve megtegye a legalapvetőbb intézkedéseket annak valódiságának ellenőrzéséhez, illetve mindezt megfelelően dokumentálja.

Jogos érdek mint jogalap?

Nem kizárt, hogy gyermekek személyes adatainak kezelésénél a jogos érdek jogalapra esik a választás. Ez nem tilos, azonban ebben az esetben különös körültekintéssel kell az érdekmérlegelési tesztet elvégezni.
Egyes esetekben jogszabályi kötelezettség a gyermekek adatait kezelni (létezik például rendelet a gyermekek nyári táboroztatásával kapcsolatban), illetve a NAIH egy korábbi határozatában jogszerűnek minősítette, hogy a digitális távoktatás keretében a tanárok kérhetik a tantermen kívüli, digitális munkarendben végzett oktatás során keletkezett fénykép és videófelvétel megküldését a diákoktól. Ilyen esetekben sem szabad azonban megfeledkezni a tájékoztatásról, mert az jogszabályi kötelezettségen alapuló adatkezelés esetén is az adatkezelő feladata.

Természetesen a gyermekeket is megilletik azok az érintetti jogok, amelyeket a GDPR rendelet meghatároz, továbbá az adatkezelési alapelveket még körültekintőbben kell betartani: a lehető legkevesebb adatot kell tárolni a gyermekekről, a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, ha az információ címzettje gyermek.

Adatvédelmi hatásvizsgálatot kötelező elvégezni, ha a gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy a közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások esetén. A kötelező eseteken kívül is ajánlott elvégezni a vizsgálatot, ha az adatkezelő úgy ítéli meg, hogy az adatkezelés kockázatos a gyermekekre nézve.


Összefoglalva a fentieket, gyermekeket érintő személyes adatok kezelése esetén

  • Körültekintően határozzuk meg az adatkezelés célját és jogalapját
  • Megfelelő módon és dokumentálva szerezzük be a gyermek/szülő hozzájárulását az adatkezeléshez
  • Fokozottan ellenőrizzük az érintetti jogok teljesülését
  • Figyeljünk a kommunikáció és a tájékoztató világos és gyermekek által is érthető szövegezésére
  • Adatvédelmi hatásvizsgálat minden esetben ajánlott, a súlyos kockázatot jelentő adatkezelések esetén pedig kötelező.
Rovat:
,
Dr. Káldi Ivett - Crosssec Blog
Szerző:
Dr. Káldi Ivett
A Crosssec Solutions adatvédelmi tanácsadójaként az Ügyfelek adatvédelmi rendelettel kompatibilis folyamatainak kialakítását és bevezetését segíti. Az adatkezeléssel és adatvédelemmel kapcsolatos műveleteket jogi szemszögből is szemléli, hozzájárulva ezzel a tanácsadás kiteljesedéséhez. Munkája során arra törekszik, hogy az együttműködés mindkét fél megelégedésére szolgáljon, a pontosság, a naprakészség és a precizitás jegyében.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram