Založit si e-mail nebo profil na sociální síti budou moci české děti samostatně až od 15 let. Do té doby budou potřebovat souhlas rodičů. Počítá s tím návrh tuzemského adaptačního zákona k evropskému nařízení o ochraně osobních údajů, který teď čeká na projednání ve sněmovně. Pokud ho zákonodárci schválí, provozovatelé internetových služeb budou muset zjišťovat věk uživatelů. Přitom dosud je možné si například u Facebooku či Googlu založit účet (podle amerických pravidel) od 13 let. Čeští provozovatelé jako například Seznam.cz ale svou e-mailovou službu věkem neomezují.

To se má změnit a zadávání věku či data narození nebude pouhou formalitou. Na webu se také budou častěji než dříve objevovat formuláře s žádostí o zadání data narození, jaké dnes známe například ze stránek výrobců alkoholu. Jejich nasazení firmám a organizacím v souvislosti s novými evropskými pravidly ochrany dat doporučuje i Úřad pro ochranu osobních údajů, byť se může stát, že uživatel bude o svém věku lhát. "Obecné nařízení ukládá správci povinnost vyvinout přiměřené úsilí s ohledem na dostupnou technologii. Podobné čestné prohlášení o věku by tak mělo být dostačující," říká Vojtěch Marcín z Úřadu pro ochranu osobních údajů.

Pravdivost uvedeného věku už ve většině případů nebudou muset provozovatelé webů a aplikací dál ověřovat. Tedy alespoň v případech, že lež nebude naprosto zjevná. Na sociálních sítích může totiž věk uživatele prozradit třeba video nebo fotka.

Evropské nařízení o ochraně osobních údajů, které stálo u zrodu této novinky a které začne napříč Evropskou unií platit od 25. května, žádá pro osobní data dětí zvláštní ochranu. Děti si totiž podle něj mohou být v menší míře než dospělí vědomy rizik a důsledků spojených s poskytováním svých údajů. To je přelomová novinka. Doposud totiž evropská legislativa na ochranu dat dětí nemyslela a nechávala její úpravu plně v kompetenci členských zemí.

To vedlo k tomu, že přístup k ochraně citlivých údajů dětí nebyl vůbec jednotný, a to ani napříč unií, ani uvnitř jednotlivých států. Kupříkladu český Úřad pro ochranu osobních údajů v roce 2013 vydal stanovisko, podle kterého museli rodiče dětí do 15 let odsouhlasit účast svých potomků v internetových soutěžích. K založení e-mailu nebo používání sociální sítě ale žádný předpis výslovný souhlas rodičů doposud nepožadoval.

Pravidla mají hranice

Jenže ani nová evropská právní úprava neznamená, že by se pravidla v rámci unie bezezbytku sjednotila. Právě u věkové hranice pro souhlas rodičů nechává nařízení členským státům prostor k úpravám. Oscilovat může mezi 13 a 16 lety. Například Německo nebo Slovensko ji stanovily na 16 let, naopak Británie a Irsko plánují souhlas rodičů žádat jen do 13 let. Rakousko zvolilo "zlatou" střední cestu − schválit poskytnutí osobních údajů dětí webům a aplikacím tam rodiče budou muset potomkům mladším 14 let.

Provozovatelé webů si tak budou muset hlídat, zda splňují požadavky jednotlivých členských zemí. Problém to bude hlavně u webů a aplikací dostupných v angličtině. Ta je totiž univerzálním jazykem, a i když provozovatel může cílit třeba jen na britský nebo irský trh, internet nezná hranic, a k aplikaci se tak snadno mohou připojit i děti z Česka.

Odkud se uživatel připojuje, může ale provozovatel webových stránek snadno zjistit z jeho IP adresy a zařídit se podle toho. "Je pak zcela na rozhodnutí poskytovatele služeb, zda bude blokovat přístup k webové stránce na základě IP adresy," uvádí advokátka Deloitte Legal Jaroslava Kračúnová.

Zcela se vyhnout nutnosti žádat souhlas rodičů pak provozovatelé webů mohou také tím, že na své webové stránky nebo do obchodních podmínek umístí informaci, že jejich služby nejsou určené dětem. "Takový postup může opravdu představovat možné řešení. Samozřejmě, nesmí to ze strany správce být jen pouhá proklamace, jak se formálně této povinnosti vyhnout," upozorňuje Marcín z Úřadu pro ochranu osobních údajů. Po upozornění o vyloučení dětí v obchodních podmínkách by tak měla následovat i technická opatření, která dětem pod zákonným věkovým limitem přístup k aplikaci neumožní.

V zájmu dítěte

Nařízení dále také důrazně doporučuje, aby zpracování osobních údajů dětí neprobíhalo automatizovaně. "Například tedy výběr dětí do hokejového týmu či konkrétní sestavy ve sportovním utkání by neměl proběhnout pouze prostřednictvím elektronické aplikace," vysvětluje partnerka advokátní kanceláře Tay­lor Wessing Praha Karin Pomaizlová.

Ani tady ale není zákaz striktní a nařízení připouští výjimky, když k tomu správce dat má relevantní důvod. Takových důvodů bude sice v praxi málo, právníci si je ale umí představit. "Půjde například o situace, kdy dochází k rozhodování za účelem ochrany dítěte nebo v zájmu jeho práv," míní Kračúnová.

Klíčovou a neobejitelnou novinkou, kterou GDPR ve vztahu k dětem přinese, tak nakonec podle expertů bude hlavně nová povinnost používat v komunikaci s nezletilými jasný a jednoduchý jazyk. To by se mělo odrazit ve slovníku, tónu i jazykovém stylu, které firmy a instituce v komunikaci s dětmi využívají a z nichž by mělo být především zřejmé, že jsou informace určeny právě dětem.

"Jako vodítko mohou čeští správci osobních údajů do určité míry využít letáky pro děti a mládež publikované samotným Úřadem na ochranu osobních údajů," radí Kračúnová. Ten například nové právo na přenositelnost, které evropské nařízení zavádí, prezentuje dětem takto: "Mohu si vzít své osobní údaje, které jsem dal organizaci nebo službě na internetu, a přenést si je jinam." K tomu v letácích nechybí ani obrázky.

Pracovní skupina Evropské komise − tzv. WP29 −, která vydává na evropské úrovni závazné pokyny k GDPR, pak jako následováníhodný vzor uvádí Úmluvu OSN o právech dítěte v jazyce přívětivém k dětem. Avšak tento dokument dosud není dostupný v češtině, což firmám a institucím z Česka využití tohoto příkladu komplikuje.

Související