съгласие

Адвокат от адвокатска кантора BOOM & SMART Словакия, специализирана в областта на трудовото право и законодателството за защита на личните данни. Ако се интересувате от консултация, свържете се с мен по имейл на [имейл защитен]

Каква е минималната възраст, за дадено лице да даде съгласие за обработване на лични данни? Може да се предостави и на непълнолетно дете?

Основни понятия, свързани със защитата на личните данни

Накратко GDPR вече е известен с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица по отношение на обработката на лични данни и относно свободното движение на такива данни, като отменя Директива 95/46/ЕО (Общи Регламент за защита на данните).

Заинтересованото лице е физическо лице, чиито лични данни се обработват (в нашия случай това ще бъдат непълнолетни, деца).

Оператор е физическо или юридическо лице, което обработва лични данни, като същевременно определя самата цел, както и средствата за тяхната обработка (например доставчици на услуги, оператори на социални мрежи, рекламни агенции, работодатели).

Едно от нововъведенията, които регламентът GDPR донесе в света на защитата на личните данни, е повишената защита на непълнолетните в Интернет среда. Този факт е отразен, inter alia, в член 8 от ОРЗД, който регламентира условията за предоставяне на съгласие за обработване на лични данни от дете, във връзка с услуги на информационното общество (ще обясним тази концепция в текста по-долу).

GDRP и деца

Регламентът GDPR възприема децата като специална рискова група, особено уязвима, която заслужава специална защита, тъй като децата обикновено са по-малко наясно с рисковете, последиците, съответните гаранции и правата си по отношение на обработката на лични данни. Такава специална защита следва да се прилага по-специално за използването на лични данни на децата за маркетингови цели или за създаването на личен или потребителски профил и събирането на лични данни на деца при използване на услуги, предоставяни директно на детето (съображение 38 от GDPR).

Засилената правна защита на детето съгласно член 8 от ОРЗД ​​се прилага само в ситуации, когато администраторите обработват личните данни на децата чрез правно основание, което е съгласието им съгласно член 6, параграф 1. 1 буква (а) GDPR, като същевременно обработва личните данни на детето онлайн, например при използване на социални мрежи или онлайн услуги. Това може да е дейност, която детето извършва в своя онлайн свят, до която родителите като негови законни настойници нямат достъп.

GDPR не предоставя средствата за избор на съдържанието на уебсайтове, които непълнолетните разглеждат. За ефективно задаване на тези ограничения се използват други инструменти. Въпреки това GDPR засилва правото на защита на непълнолетни в контекста на използването на т.нар услуги на информационното общество и дава на родителите въображаем инструмент, който трябва да им гарантира познаване на услугите, които децата използват в онлайн света и в които личните им данни се обработват едновременно.

Какво е "услуга на информационното общество"?

Услугата на информационното общество е услуга, предоставяна срещу заплащане, дистанционно, по електронен път и въз основа на индивидуална заявка на получателя на услуги.

  • и разстояние " означава, че услугата се предоставя, без двете страни да присъстват едновременно.
  • „По електронен път“ означава, че услугата се изпраща от мястото на произход и се получава в местоназначението с помощта на електронно устройство и се предава изцяло, предава и приема по проводник, посредством радиовълни, оптични средства или други електромагнитни средства.
  • „По индивидуално искане на получателя на услугите“ означава, че услугата се предоставя по индивидуално искане на заинтересованото лице.

На практика под тази на пръв поглед сложна концепция може да си представим например:

  • електронна търговия (електронно предлагане на стоки и услуги),
  • онлайн реклама,
  • онлайн резервация на билети при превозвача или туристическата агенция,
  • купете компютърна игра онлайн,
  • поръчайте закуски онлайн,
  • поръчайте таксиметрова услуга чрез мобилното приложение,
  • създаване на потребителски профил (напр. в социална мрежа, онлайн търговец и др.)
  • маркетинг (например изпращане на новини и специални оферти по имейл или SMS съобщения).

Правилното разбиране на термина „услуга на информационното общество“ също е важно, защото е свързано с него единична възрастова граница, изисква се от GDPR за валидността на съгласието.

Съгласно член 8 от регламента, ако се прилага съгласие за обработване на лични данни във връзка с предлагането на услуги на информационното общество, адресирано директно до детето, обработването на личните данни на детето е законно само ако детето е на поне 16 години на възраст. Ако детето е под 16-годишна възраст, такова обработване е законно само при условията и до степен, че такова съгласие е изразено или одобрено от родителя, респ. носител на родителска отговорност.

В светлината на горното можем да заявим, че Регламентът за ОРЗД ​​не определя обща минимална възраст необходимо за валидността на съгласието за обработване на личните му данни, но определя минимална възраст "само" хора във връзка с услугите на информационното общество. Той също така определя тази граница на 16-годишна възраст.

За пълнота също така заявяваме, че тази възрастова граница се прилага на територията на Словашката република, но може да не се прилага във всички държави-членки на ЕС и ЕИП. GDPR всъщност тя дава на отделните държави-членки известна степен на гъвкавост, като им позволява ви позволява да посочите по-ниска възрастова граница, необходими за валидността на съгласието по отношение на услугите на информационното общество. Това ограничение обаче не може да бъде на по-малко от 13 години. Словашката република запази възрастовата граница, определена от GDPR, на 16, но например Чешката република се възползва от възможността да я намали и намали тази възраст до 15-годишна възраст на детето.

Каква е повишената защита на децата при обработка на лични данни?

Освен това член 8 от регламента предвижда, че ако детето е на възраст под 16 години, такова обработване на личните му данни във връзка с услугите на информационното общество е законно само при условията и до степен, в която такова съгласие е изразено или одобрено от носителя на родителската отговорност. На практика това означава, че за да бъде съгласието валидно като правен акт, е необходимо законният представител на детето да го направи или поне да го одобри от името на детето. По този начин GDPR делегира на родителите сравнително ефективен инструмент, чрез който родителите могат да получат знания за услугите на информационното общество, от които се интересуват техните деца, като същевременно имат реална възможност да повлияят на предоставянето им на детето (чрез предоставяне или несъгласие).

Какви са задълженията при обработката на личните данни на децата?

На практика повишеното ниво на защита на правата на децата като уязвима група е отразено и в новото задължение за проверка, което въведе за операторите GDPR. В случаите, когато законността на обработването на лични данни на субекта на данните във връзка с предложението на информационно общество изисква неговото съгласие, администраторът е длъжен да положи разумни усилия да провери в такива случаи, че носителят на родителска отговорност от името на съответното лице (дете) е дал своето съгласие или го е одобрил, като се вземат предвид налична технология.

Предвид относително неясната разпоредба на GDPR, която делегира това задължение на операторите, на практика възникват редица спорни въпроси, свързани с практическото изпълнение на това задължение. Тези въпроси могат да бъдат обобщени, както следва:

  • какво може да се счита за „разумно усилие“?
  • какво може да се разбира под термина „налична технология“?
  • операторът също има право да провери възрастта на съответното лице, което е дало съгласие?

Отговорите на тези въпроси ще зависят от всеки отделен случай. Като цяло обаче отговорите могат да бъдат обобщени, както следва.

  • Операторът има право (дори задължен) да избере подходящи мерки, за да провери дали лицето, което дава съгласие, е на достатъчно възраст, за да го предостави, или дали лицето, което дава съгласие от името на детето, е носител на родителски права (носител на родителски права може да бъде не само родителят, но и настойникът, настойникът или настойникът в конфликт).
  • От оператора зависи да определи кои мерки са подходящи в даден случай. Адекватността на мерките обаче трябва да бъде оценена в светлината на специфичните рискове, свързани с обработката на данните.
  • По този начин операторите трябва да избягват проверката на данни на лица, водещи до прекомерно събиране на лични данни (Насоки на работната група WP29 за съгласие съгласно Регламент 2016/679, № WP 259).

Когато е разрешено по-малко от 16 години за съгласие?

GDPR не определя обща минимална възраст за валидност на съгласието за обработка на лични данни. GDPR определя минималната възраст за валидност на изискваното съгласие изключително с услуги на информационното общество.

В други ситуации както словашките оператори, така и засегнатите лица могат да разчитат на националното законодателство, което за целите на правоспособността на непълнолетните е Закон №. 40/1964 Coll. Граждански кодекс. Гражданският кодекс определя условията за правоспособност, които физическите лица придобиват изцяло чрез навършване на пълнолетие. Това обаче не означава, че за валидността на всички правни актове се изисква по-голямата част от лицата, които извършват тези действия. По-нататък Гражданският кодекс ясно определя в § 9, че i непълнолетните имат способността да извършват правни действия, които по своето естество са пропорционални на интелектуалната и доброволната зрялост, подходяща за тяхната възраст.

Като се има предвид, че правните актове могат да включват съгласие за обработване на лични данни, посоченото на практика не означава, че нито едното, нито другото Нито GDPR, нито Гражданският кодекс изрично определят обща минимална възраст за валидност на съгласието като правен акт, необходим за законната обработка на лични данни.

От дефиницията на Гражданския кодекс обаче става ясно, че тази граница може да е по-ниска от възрастта на мнозинството лица, при условие че начинът на изразяване на съгласие и целта, за която се дава, е подходящ за интелектуалната и доброволната зрялост на съответното лице.

Пример за валидно съгласие за обработване на лични данни след навършване на 15-годишна възраст

Пример за това е предоставянето на съгласие за обработване на лични данни в трудовите правоотношения (разбира се, в случаите, когато използването на съгласие не изключва задължението за прилагане на друго правно основание за обработка на данни, като Кодекса на труда или разпоредбите за социално осигуряване ). Като се има предвид, че просто казано, способността да бъдеш служител (т.е. личност по заетост) се придобива от физически лица след завършване на задължителното училище и навършване на петнадесетгодишна възраст (трябва да са изпълнени и двете условия), може да се приеме, че съгласието на детето след завършване на петнадесет години, например с цел публикуване на неговата снимка на уебсайта на работодателя, ще бъде валидно. Според нас може да се приеме, че лице, което е в състояние да осъзнае последиците от поведението си като служител (т.е. да може да знае както за своите права, така и за задълженията, произтичащи от трудовото правоотношение) еднакво компетентен да оцени последиците от поведението си като служител на позицията на субекта на данни, например като даде съгласие за обработването на неговите лични данни.

Пример за валидно съгласие за обработване на лични данни дори преди навършване на 15-годишна възраст

Друг пример е съгласието за обработка на името и пощенския адрес на непълнолетно лице с цел изпращане на рекламни (стокови) флаери на хипермаркети, хранителни магазини, дрехи или малка електроника (като мобилни телефони). Продажбата и покупката на посочените стоки от непълнолетни лица се извършва ежедневно и поради това може да се направи презаключение, че ако тези лица сключват валидно договор за покупко-продажба за продажба/покупка на тези стоки, те имат еднакво пълно право да дадат съгласието за изпращане на рекламни брошури е само тяхното предложение.

Кога се изисква изрично съгласие за обработка на данни? Каква е разликата между съгласието и изричното съгласие?

Регламентите за защита на личните данни изискват изрично съгласие в ситуации, в които може да се очаква повишен риск от застрашаване на защитата на личните данни. Съгласно GDPR трябва да се даде изрично съгласие за обработката на конкретни категории лични данни съгласно член 9, за профилиране на лице съгласно член 22 или за прехвърляне на лични данни към трети държави или международни организации съгласно член 49.

Следователно терминът „изрично“ съгласие означава, че той трябва да бъде даден недвусмислено и трябва да бъде достатъчно конкретизиран. Такова съгласие не може да се изведе единствено от поведението на заинтересованото лице.

Пример за изразяване на съгласие за обработване на лични данни

Така нареченият „Обикновеното“ съгласие е валидно, дори ако съответното лице качи неговата снимка на уебсайта на работодателя, като по този начин изрази своето съгласие за публикуването му. Въпреки това, в случаите, когато регламентът изисква изрично съгласие, предоставянето му по този начин не би било достатъчно. Условието за „произношение“ на съгласието обаче би било изпълнено, ако съответното лице даде писменото си съгласие за текста: „Съгласен съм с публикуването на моята снимка на уебсайта Podnikjate.sk.sk за целта. “. Условието за получаване на изрично съгласие също би било изпълнено чрез маркиране на съгласието (отметка) на квадратчето (т.нар. Квадратче за отметка) от заинтересованото лице на уебсайта на оператора, при условие че текстът му ясно изразява съгласие.

Въпреки че GDPR предполага даването на изрично съгласие в конкретни ситуации респ. когато рискът от застрашаване на неприкосновеността на личния живот е по-висок, той по никакъв начин не ограничава предоставянето му чрез определяне на различна възрастова граница, отколкото с „нормално“ съгласие. Въпреки това, поради естеството на личните данни, обработвани съгласно член 9 от регламента (специална категория лични данни), за които се изисква изрично съгласие, в тези случаи могат да се очакват по-високи изисквания за интелектуална и доброволна зрялост на непълнолетните, които дават изрично съгласие за обработката на техните данни.

Пример за съгласие за обработване на здравни данни

Авиокомпанията предоставя помощни услуги на хора с увреждания, като помощ при транспортиране на багаж между терминалите на летището или помощ при качване на самолет. За да може авиокомпанията да избере подходящия вид услуга за помощ, тя ще поиска от заинтересованото лице да посочи своето увреждане.

Като се има предвид, че продажбата на билет е обвързана с 16-годишна възраст на човек от няколко авиокомпании, може да се направи извод, че след като човек достигне същата възраст, той също има право да даде изричното си съгласие за обработката на личните му здравни данни на степента, необходима за предоставяне на помощ.услуги (т.е. за изпълнение на целта, за която се предоставя съгласието).

Резюме - съгласието за обработката на лични данни може да бъде дадено от непълнолетно лице?

GDPR, Законът за защита на личните данни и Гражданският кодекс не определят изрично обща минимална възрастова граница за субекта на данните, която обуславя валидността на съгласието за обработване на личните му данни. Те обаче определят правното основание, от което можем да извлечем валидността на съгласието като правен акт. Те могат да бъдат обобщени, както следва:

  1. Съгласието на засегнатия непълнолетен е валидно, ако той или тя е навършил 16-годишна възраст и съгласието е дадено във връзка с услугите на информационното общество; в противен случай съгласието е валидно само ако е изразено или одобрено от родителя.
  2. В други случаи съгласието на непълнолетния е валидно, ако неговото естество съответства на интелектуалната и доброволната зрялост на непълнолетния.