Mnoho rodičů začíná budovat veřejnou informační stopu svých dětí často hned od narození sdílením fotek a videí. Sdílení osobních údajů dětí jimi samotnými nebo jejich rodiči může mít často nedomyšlené následky včetně reputačního rizika, a problémů spojených s potenciálním komerčním využitím osobních údajů vč. jejich profilování. Informační stopa rovněž může usnadňovat obtěžování nebo být spouštěčem kyberšikany.[1] V této oblasti nám do popředí vystupují tři základní práva, které spolu úzce souvisí, a to právo na soukromí, právo na informační sebeurčení a právo na ochranu osobních údajů.

V textu si představíme některá ze základních východisek koncepcí práv a svobod dětí v Úmluvě OSN o právech dítěte (“Úmluva”). Důraz bude věnován ochraně osobních údajů dětí, a proto si rovněž přiblížíme několik právních nástrojů obsažených v GDPR, které jsou pro ochranu osobních údajů dětí užitečné. Nejedná se o celkový výčet – GDPR obsahuje obecně celou řadu nástrojů pro ochranu subjektů osobních údajů. Ošetření souhlasu při nabídce služeb informační společnosti, právo být zapomenut a standardní a záměrná ochrana osobních údajů jsou jen jedny z několika příkladů institutů, které mohou pomoci chránit osobní údaje dětí.

Děti a internet: základní východiska

Soukromí dítěte jako takové je chráněno řadou nástrojů. Nejznámějším z nich je pak patrně Úmluva. Jedním z hlavních principů této Úmluvy je tzv. princip nejlepšího zájmu dítěte.[2] V této oblasti existuje inherentní pnutí mezi ochranou dětí a posílením jejich postavení jako nositelů práv.[3]

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Zaměříme-li pozornost na právo na na informační sebeurčení, zjednodušeně řečeno možnost kontrolovat informace o sobě,[4] musíme konstatovat, že ochrana dětí je typicky při používání sociálních sítí obzvláště naléhavá a obtížná, protože děti často nedokážou pochopit důsledky zveřejňování svých informací online. I zde lze vidět důležitost vyvažování mezi ochranou a posílením postavení dětí jako nositelů práv. Děti, které nejsou chráněny a jejichž životní podmínky nejsou dostatečně kvalitní, nezřídka nebudou schopné vykonávat právo na informační sebeurčení zodpovědně; na druhé straně je pravděpodobné, že přílišná ochrana dětí povede k oslabení jejich postavení a rovněž nemožnosti vykonat právo na informační sebeurčení v prostředí internetu vůbec.

Toto platí i v oblasti ochrany osobních údajů dětí, kde by ochrana dětí v online prostoru neměla být tak bezbřehá, že by mohla zasahovat do jiných práv dítěte garantovaných Úmluvou. Dítě má například, podle čl. 13 Úmluvy, právo na svobodu projevu. Toto právo zahrnuje možnost vyhledávat, přijímat a rozšiřovat informace a myšlenky všeho druhu, bez ohledu na hranice, ať ústně, písemně nebo tiskem, prostřednictvím umění nebo jakýmikoli jinými prostředky podle volby dítěte. Poměr ochranářských opatření by se měl měnit s vyvíjející se rozumovou a volní vyspělostí,[5] ačkoliv ne vždy je tento princip reflektován v příslušných právních úpravách. Děti, tak jako dospělí, mají právo na ochranu svých osobních údajů, přičemž např. GDPR uznává, že děti zasluhují z tohoto pohledu zvláštní ochranu, jelikož si mohou méně uvědomovat rizika spojená se zpracováním informací o jejich osobě.[6]

Ochrana dětí v souvislosti s nabídkou služeb informační společnosti

Služby informační společnosti zahrnují široké spektrum online stránek a služeb, z nichž je nemalá část zaměřená právě na nezletilé. Služba informační společnosti je definována v § 2 písm. a) zákona o některých službách informační společnosti jako „jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat“.

Osobní údaje jsou pro mnoho osob působících na poli služeb informační společnosti zajímavým obchodním artiklem. Informace o dětech v tomto ohledu nejsou výjimkou. Důležitým aspektem digitálního prostoru je monetizace dat a informací ze sociálních a jiných sítí. Platformy, které poskytují prostředí pro sociální interakce jsou tedy zároveň marketingově orientované prostory, navržené pro maximální „monetizaci uživatelů” a ovlivnění jejich nákupního a jiného komerčního chování. Jedná se o nerovnoměrné postavení mezi uživatelem a poskytovatelem služby nebo provozovatelem platformy. Ti využívají jejich kontrolu nad přístupem ke službám pro ovlivnění toků informací, které se uživateli objeví (tzv. „feedy”).[7] Toto vytváří nové sociální prostředí, které zásadně mění naše dosavadní chápání sociálních vztahů a autonomie, přičemž tyto jsou ovlivněny algoritmy, které mají často jediný cíl – zvýšit profitabilitu dané platformy.[8]

Čl. 8 GDPR stanovuje věk, ve kterém je dítě způsobilé udělit souhlas v souvislosti s přímou nabídkou služeb informační společnosti. GDPR nastavuje věkovou hranici na 16 let, přičemž členské státy mají možnost tuto hranici snížit až na 13 let.[9] Řada členských států, včetně České republiky, využila tuto možnost. Zákonodárce se v České republice rozhodl stanovit věkovou hranici na 15 let.[10]

Je-li dítě mladší, než je stanovený věk způsobilosti, pak je zpracování možné jen tehdy, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou odpovědnost k dítěti. Je však třeba zdůraznit, že v případech, kdy může existovat konflikt mezi rodičem a dítětem, a to v případech poradenských a preventivních služeb, GDPR nevyžaduje souhlas rodiče ani když je dítě mladší 15 let.[11] Článek 8 odst. 2 GDPR stanovuje taktéž povinnost správce vyvinout přiměřené úsilí, a to s ohledem na dostupnou technologii, aby ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou odpovědnost k dítěti.

Právo být zapomenut

Čl. 17 GDPR umožňuje vyžadovat od správce osobních údajů, aby bez zbytečného odkladu vymazal osobní údaje, které se subjektu údajů týkají. Jedná se o právo, které svědčí všem subjektům údajů, jsou-li splněny podmínky uvedené v tomto článku. Recitál 65 preambule GDPR specificky vyzdvihuje důležitost tohoto ustanovení ve vztahu k dětem, když říká: „Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě.” U osobních údajů dětí má právo být zapomenut význam zejména v digitálním prostoru proto, že, zjednodušeně řečeno, jejich prezence v něm trvá už od narození.[12] Informační stopa třicetileté osoby, může být stejně tak dlouhá. Jedná se tedy o 30 let informací o životě osoby, které nepodléhají přirozenému zapomínání a zániku tak, jako jim podléhají informace mimo internetovou sféru. Tato permanence informací pak může subjektu údajů přinést reputační riziko nebo jinak ohrozit jeho soukromí v dospělosti.

Čl. 17 GDPR dále umožňuje výkon práva být zapomenut mimo jiné ve vztahu k osobním údajům zpracovávaným ve vztahu ke zpracování osobních údajů v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 GDPR nebo na základě souhlasu. Souhlas jako základ pro zpracování osobních údajů musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle.[13] V závislosti na věku a odpovídající rozumové a volní vyspělosti subjektu nebude v některých případech možné využít souhlas dítěte jako právního důvodu zpracování vůbec. To stejné platí i o jiných rizikových skupinách subjektů údajů, jako například osob s mentálním postižením, ačkoliv jejich ochranu GDPR neakcentuje tak jako ochranu dětí.

Zásady standardní a záměrné ochrany osobních údajů

Jedním z nejefektivnějších způsobů, jak dosáhnout dostatečné ochrany osobních údajů dětí na internetu, je myslet na ni už od počátku vytvoření aplikace, webové stránky nebo hry. Ochrana osobních údajů  dítěte, a potažmo jeho soukromí, by měla být zapracována už v samotném designu konkrétního produktu. Pro tyto účely se dá inspirovat pokynů vydaných UNICEFEM, které se týkají ochrany práv a svobod dětí v kontextu digitálního prostoru a které mohou sloužit vývojářům při promyšlení jejich výrobků a služeb.[14]

I při praktikování  standardní a záměrné ochrany osobních údajů by měl být dodržován princip tzv. nejlepšího zájmu dítěte. Posuzování nejlepšího zájmu dítěte by mělo vést k vyvážení práva na ochranu s dalšími právy, zejména s právem na svobodu projevu. K tomuto účelu by měla být přizpůsobena například i komunikace ze strany správce k zamyšlené věkové skupině dětí.  To ostatně vyžaduje i samotná zásada transparentnosti zpracování. Informace musí být vždy stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků.[15] Rec. 58 preambule GDPR opět akcentuje ochranu dětí a zdůrazňuje, že „všechny informace a sdělení podávány za použití jasných a jednoduchých jazykových prostředků, aby jim děti snadno porozuměly.“

Závěrem

V ideálním případě by předpisy na ochranu osobních údajů měly chránit děti před riziky jako je zneužití jejich údajů, poškození dobré pověsti a důstojnosti a zároveň jim umožnit využívat pozitiva online prostoru.

Často až excesivní sdílení osobních údajů dětí ať už z jejich strany nebo ze strany jejich rodičů může do budoucna přinést řadu problémů v oblasti ochrany osobních údajů a ochrany soukromí obecně. Platformy zaměřené na děti nebo dětmi využívané by tak měly být vždy navrženy s ohledem na specifičnost dětí jako subjektů údajů.

Neměli bychom se ale spoléhat jen na ochranu, která je nám poskytována právními předpisy. V praxi je neméně důležité neustálé zvyšovat informační gramotnost. Tato snaha ovšem nesmí být zaměřena jen na vzdělávání dětí, ale i jejich rodičů.

Veronika Šípošová

PricewaterhouseCoopers Legal s.r.o., advokátní kancelář
PwC Legal

City Green Court
Hvězdova 1734/2c
140 00  Praha 4

Tel.:    +420 251 151 111
Fax:    +420 251 156 111

Svobody 91/20
602 00 Brno

Tel.:    +420 542 520 111
Fax:    +420 542 214 796

e-mail:    info@pwc.cz