Pod zkratkou GDPR (General Data Protection Regulation) je nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (zkráceně obecné nařízení o ochraně osobních údajů) prezentováno v podobě článků, informací a nabídek seminářů a školení v tištěné i elektronické podobě stále častěji. Dovolíme si zde pouze uvést, že jde o nařízení přímo aplikovatelné,1 které cílí zejména na zajištění vysoké a soudržné úrovně ochrany subjektů údajů (fyzických osob). Toho má být dosaženo několika způsoby, jako např. odstraněním překážek pohybu osobních údajů, zajištěním stejné úrovně ochrany osobních údajů v jednotlivých státech unie, a to včetně rovnocenného uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním jejich osobních údajů.
Zvláštní ochrana dětí
Úmluva o právech dítěte2 definuje dítě jako lidskou bytost mladší osmnácti let, pokud podle právního řádu, jenž se na dítě vztahuje, není zletilosti dosaženo dříve. Děti jsou plnohodnotnými nositeli práv (a povinností) stejně jako dospělé osoby a Smlouva o Evropské unii stanovuje unii povinnost podporovat ochranu práv dítěte.3 V souladu s výše uvedeným GDPR již ve svém Recitálu přímo zmiňuje, že děti mají požívat zvláštní ochrany (zde tedy ve vztahu k ochraně osobních údajů). Konkrétně v čl. 38 Recitálu je uvedeno: "Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem." Nutnost zvláštního přístupu k ochraně osobních údajů dětí je obsažena také v čl. 58 Recitálu, který říká, že v případech, kdy je zpracování osobních údajů zaměřeno na děti, měly by být všechny informace a sdělení podávány prostřednictvím jasných a jednoduchých jazykových prostředků. Důvod je zřejmý, aby jim i děti snadno porozuměly. Toto je znovu reflektováno v čl. 12 GDPR věnovaném transparentnosti a postupům pro výkon práv subjektu údajů, kde je správci stanovena povinnost přijmout vhodná opatření, aby subjekt údajů stručně, jasně, srozumitelně a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků informoval o účelu zpracování osobních údajů, právech subjektu údajů a dalších souvisejících skutečnostech.4 I v tomto ustanovení je znovu zdůrazněno, že zvláště důležité je ho dodržet, jde-li o informace určené dítěti. Skutečnost, že ochrana osobních údajů dětí si zaslouží a vyžaduje zvýšenou pozornost, dokládá také čl. 57 GDPR definující úkoly dozorového úřadu. V odst. 1 písm. b) uvedeného článku ukládá GDPR dozorovému úřadu, aby zvyšoval povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů a aby podporoval porozumění těmto otázkám s tím, že je kladen zvýšený důraz na akce určené speciálně dětem. Čl. 71 Recitálu ke GDPR poukazující na to, že subjekt údajů by měl mít právo nebýt předmětem rozhodování, které vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej jinak významně dotýká, důrazně doporučuje, aby byly děti z opatření obsahujícího automatizované profilování vyloučeny úplně. Tedy např. výběr dětí do hokejového týmu či konkrétní sestavy ve sportovním utkání by neměl proběhnout pouze prostřednictvím elektronické aplikace (automatizovaně).
Souhlas subjektu údajů se zpracováním
Jako stěžejní pro ochranu osobních údajů dětí se na první pohled jeví čl. 8 GDPR, který v návaznosti na čl. 6 odst. 1 písm. a) GDPR pojednávajícím o souhlasu subjektu údajů se zpracováním, jako jedné z podmínek zákonnosti zpracování, stanovuje věkovou hranici šestnáct let pro samostatné vyjádření souhlasu se zpracováním osobních údajů. Pro případy, kdy dítě ještě nedosáhlo šestnáctileté věkové hranice a zároveň jde o zpracování osobních údajů v souvislosti s nabídkou služeb informační společnosti,5 pak zavádí jako podmínku zákonnosti zpracování osobních údajů dítěte souhlas vyjádřený či alespoň schválený osobou, která vykonává rodičovskou zodpovědnost k dítěti.6 GDPR umožňuje členským státům, aby uvedenou věkovou hranici snížily prostřednictvím vlastního právního předpisu. Hranice však nesmí klesnout pod třináct let.7 V odst. 2 čl. 8 GDPR ukládá správci dat povinnost vyvinout přiměřené úsilí8 a ověřit, že souhlas byl vyjádřen či alespoň schválen nositelem a vykonavatelem rodičovské odpovědnosti vůči konkrétnímu dítěti.
Způsobilost uzavírat typ "soutěžní smlouvy", resp. dát souhlas se zpracováním osobních údajů v soutěžích uvedeného typu, bude zřejmě často chybět u dětí mladších 15 let, tudíž zde bude nezbytné k uzavření uvedené smlouvy souhlasu zákonného zástupce, neboť tyto děti nemohou posoudit všechny dopady vzniku této smlouvy, resp. uděleného souhlasu se zpracováním osobních údajů. Kontrolující si jako rozhodující kritérium zvolili věk 15 let, neboť dosažením tohoto věku by již žáci mohli mít vzhledem k rozvinuté informační době povědomí, že jejich údaje v určitém rozsahu budou někým zpracovávány a že pokud by se s jejich osobními údaji nakládalo neoprávněně, je možnost domoci se svých práv (byť pouze prostřednictvím svých zákonných zástupců).
Vedle právě zmíněného ustanovení vztahujícího se k podmínkám aplikovaným na souhlas dítěte v souvislosti se službami informační společnosti se "dětský prvek" objevuje i v dalších ustanoveních GDPR. Mám na mysli např. právo na opravu osobních údajů9 či právo být zapomenut.10 Čl. 65 Recitálu ke GDPR zdůrazňuje, že subjekt údajů by měl mít právo na to, aby jeho údaje byly vymazány a nebylo dále realizováno jejich zpracovávání, pokud to již není nutné pro účely, pro které byly shromažďovány, nebo pokud subjekt údajů odvolal svůj souhlas11 nebo vznesl-li subjekt osobních údajů proti jejich zpracování námitku atd., a to zejména v případech, kdy souhlas byl poskytnut v dětském věku, kdy si subjekt osobních údajů nebyl vědom možných rizik. Předmětný článek ještě zdůrazňuje, že subjekt údajů by měl mít možnost práva na opravu či zejména výmaz osobních údajů, k jejichž zpracování poskytl souhlas v dětském věku, nehledě na to, že již dítětem není.
Pomocná stanoviska
Ochrana osobních údajů dětí byla brána v potaz již dříve. Ve stávající právní úpravě12 nejsou osobní údaje dětí ani jejich ochrana výslovně uvedeny, natož zdůrazněny, a logicky jsou na tuto speciální oblast aplikována pravidla platná pro ochranu osobních údajů obecně. Je ale třeba zmínit, že příslušné úřady13 se k dílčím problematikám vyjadřovaly a vydávaly příslušná vysvětlení, prohlášení, stanoviska, strategie a návody. Pracovní skupina pro ochranu údajů zřízená podle čl. 29 (dále "WP29") se např. v červnu 2003 vyjadřovala14 k evropskému kodexu chování FEDMA15 pro používání osobních údajů v přímém marketingu s tím, že FEDMA vyzvala, aby vypracovala přílohu k tomuto kodexu, která se bude zabývat zejména ochranou dětí jako subjektů v prostředí internetu zvlášť zranitelných. Dále také WP29 např. vydala Stanovisko č. 2/2009 k ochraně osobních údajů dětí (Obecné pokyny a zvláštní případ škol), ve kterém stanovila základní zásady důležité pro ochranu údajů týkajících se dětí, a dala tak určité konkrétní vodítko osobám, které s takovými údaji nakládají. Úřad pro ochranu osobních údajů (dále "UOOU") také v této oblasti naplňuje svou funkci spočívající v ochraně zájmů subjektů údajů a řešení konkrétních stížností, spočívající v osvětě také konkrétně zaměřené na děti a mladistvé a samozřejmě i on poskytuje odborná (výkladová) stanoviska a návodné postupy. Jako příklady lze uvést Stanovisko k internetovým soutěžím pro děti,16 vyjádření ke shromažďování osobních údajů při uzavírání (pracovní) smlouvy, kde mohou figurovat také jména či rodná čísla potomků, což úřad považuje za nadbytečné17 a další.
-----
Lze předpokládat, že vzhledem k tomu, že GDPR obsahuje ustanovení zdůrazňující potřebu (zvýšené) ochrany osobních údajů dětí, bude této oblasti věnována praktická pozornost i při aplikaci a dodržování ustanovení GDPR. Ve výsledku může porušení právě těchto ustanovení znamenat přísnější přístup kontrolních úřadů. Očekáváme, že WP29 a ÚOOÚ budou v budoucnu poskytovat k problematice souhlasu dětí se zpracováním jejich vlastních údajů podrobnější stanoviska. Zejména se momentálně jeví jako aktuální otázka, jak vyřešit v praxi kontrolu toho, že zákonný zástupce vyslovil souhlas se zpracováním osobních údajů dítěte např. u sociálních sítí nebo on-line her a soutěží apod. V zásadě komunikace na této úrovni probíhá neformálně a je pak otázkou, zda potvrzení, že osoba poskytující souhlas za dítě je osobou starší osmnácti let a zároveň je vůči dítěti v pozici zákonného zástupce, či zda budou dozorové orgány v rámci splnění povinnosti požadovat určité prověření věrohodnosti tohoto prohlášení ze strany správce osobních údajů. Umím si představit, že souhlas by mohl zákonný zástupce učinit za použití svého facebookového profilu nebo po registraci do systému správce. Nemalé problémy mohou vzniknout v praxi také tam, kde nedojde ke shodě obou rodičů o tom, zda jejich dítě může využívat konkrétní sociální síť či on-line službu. K takovým sporům dochází již dnes. Je otázkou, jak se má správce zachovat, pokud obdrží v souladu s GDPR souhlas jednoho z rodičů, avšak později se na něj obrátí druhý rodič s tím, že se zpracováním osobních údajů v rámci konkrétní sociální sítě nebo aplikace nesouhlasí. Sama se v praxi setkávám s případy, kdy rodič či rodiče zcela lehkovážně dovolí dětem užívat aplikace a sociální sítě pro ně nevhodné, dokonce v rozporu s jasně deklarovanými podmínkami provozovatele/správce osobních údajů. Sami rodiče např. ignorují, že určité aplikace nejsou vhodné pro děti mladší třinácti let a dovolují je užívat dětem šesti- až desetiletým. V takovém případě bude vždy platit, že i přes souhlas rodiče má provozovatel sociální sítě nebo aplikace povinnost profil zrušit, pakliže ve svých obchodních podmínkách deklaruje určité věkové omezení, které uživatelé nebo rodiče nerespektovali.
1) I přesto bude třeba, aby jednotlivé členské země EU zapracovaly na jeho formální i skutečné implementaci. V ČR bude mít adaptační zákon ke GDPR podobu novely stávajícího právního předpisu, tedy novelu zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění.
2) Úmluva OSN o právech dítěte z 20. 11. 1989 (informace o tom, kdo je považován za dítě viz čl. 1).
3) Dítě je třeba považovat za osobu, která zatím nedosáhla plné fyzické i psychické zralosti.
4) Podrobně viz čl. 13, 14, 15-22 a 34 GDPR.
5) Podle z. č. 480/2004 Sb., o některých službách informační společnosti, v platném znění (ust. § 2 písm. a)) je službou informační společnosti jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu. Uvedené ustanovení také definuje, kdy je služba poskytnuta elektronickými prostředky. Jde o případy, kdy je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat.
6) Úprava rodičovské odpovědnosti v českém právu viz ust. § 858 a násl. z. č. 89/2012 Sb., občanský zákoník v platném znění.
7) Česká republika zatím žádnou úpravu snižující šestnáctiletou věkovou hranici nepřipravuje.
8) S ohledem na dostupné technologie.
9) Právo na opravu definuje čl. 16 GDPR.
10) Právo na výmaz (právo být zapomenut) je upraveno v čl. 17 GDPR.
11) Podle čl. 7 odst. 3 GDPR je jednou z podmínek vyjádření souhlasu také to, že subjekt údajů má právo svůj souhlas kdykoliv odvolat, čímž ale není dotčena zákonnost předchozího zpracování (zpracování osobních údajů před odvoláním souhlasu). Odvolat souhlas musí být stejně snadné jako jej poskytnout.
12) Směrnice Evropského parlamentu a rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Směrnice Evropského parlamentu a rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a z. č. 10/2000 Sb., o ochraně osobních údajů v platném znění.
13) Např. úřady pro ochranu osobních údajů, pracovní skupina pro ochranu údajů zřízená podle čl. 29 směrnice 95/46/ES jako evropský nezávislý poradní orgán pro ochranu údajů a soukromí a také třeba Evropská komise a další.
14) Stanovisko č. 4/2010 k evropskému kodexu chování FEDMA pro používání osobních údajů v přímém marketingu je v českém překladu dostupné na: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp174_cs.pdf.
15) Federace evropského přímého marketingu (návaznost na problematiku služeb informační společnosti).
16) Viz https://www.uoou.cz/internetove-souteze-pro-deti/d-6113
17) Viz https://www.uoou.cz/ke-shromazdovani-osobnich-udaju-pri-uzavirani-smlouvy/d-1581