Bendrasis duomenų apsaugos reglamentas (BDAR) išskirtinį dėmesį skiria vaikų asmens duomenų tvarkymui, pripažindamas, kad vaikams reikalinga ypatinga apsauga, nes jie gali nepakankamai suvokti su asmens duomenų tvarkymu susijusius pavojus, pasekmes, apsaugos priemones ar savo teises.
Nepilnamečių asmens duomenų tvarkymo ypatumai pagal BDAR ir ADTAĮ
BDAR yra pirmasis Europos Sąjungos teisės aktas, reglamentavęs nepilnamečių iki 16 metų asmens duomenų tvarkymą. Ypatinga apsauga pirmiausia turėtų būti taikoma vaikų asmens duomenų naudojimui rinkodaros, virtualios asmenybės ar vartotojo profilio sukūrimo tikslais ir su vaikais susijusių asmens duomenų rinkimui naudojantis jiems tiesiogiai pasiūlytomis paslaugomis.
BDAR 8 straipsnyje numatyta, kad, kai asmens duomenys tvarkomi remiantis asmens sutikimu ir tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Jeigu vaikas yra jaunesnis negu 16 metų, toks asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu sutikimą dėl tvarkymo organizacijai davė arba tvarkyti duomenis leido vaiko įstatyminiai atstovai, pavyzdžiui, tėvai.
BDAR suteikia teisę ES valstybėms narėms numatyti jaunesnio amžiaus ribą, nuo kurios nebereikia gauti tėvų ar globėjų sutikimo dėl vaiko asmens duomenų tvarkymo. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (ADTAĮ) apibrėžia, jog vaiko asmens duomenų tvarkymas yra teisėtas, jei sutikimą duoda ne jaunesnis negu 14 metų vaikas, t. y. iki 14 metų sutikimą privalo duoti įstatyminiai atstovai. Tai žymiai palengvina įmonių pareigą gauti duomenų subjektų sutikimus, nors atleidžia nuo pareigos gauti įstatyminių atstovų sutikimą tik tuo atveju, kai vaikui teikiamos prevencijos ar konsultavimo paslaugos.
Informacinės visuomenės paslauga turi būti suvokiama kaip paprastai už atlyginimą per atstumą, elektroninėmis priemonėmis ir asmenišku paslaugų gavėjo prašymu teikiama paslauga. Taigi, jeigu vaikai iki 14 metų siekia naudotis organizacijų per atstumą siūlomomis elektroninėmis paslaugomis (pvz., socialiniais tinklais, elektroninėmis parduotuvėmis, įvairiomis programomis, internetu teikti užklausas, gauti naujienlaiškius, atsisiųsti muzikos arba žaidimų), verslo atstovams reiks gauti vieno iš vaiko įstatyminių atstovų pritarimą, nes teikiant šias paslaugas bus naudojami vaiko asmens duomenys, nepaisant to, ar tokios siūlomos paslaugos mokamos, ar ne.
Priežiūros institucijų pozicija ir praktika
Europos Sąjungos valstybių narių institucijų, įgaliotų atlikti BDAR priežiūrą, patirtis rodo, kad didieji socialiniai tinklai ne visada spėjo užtikrinti vaikų apsaugą, pradėjus taikyti BDAR. Pavyzdžiui, 2021 m. nuskambėjo liūdna istorija apie 10 metų italę mergaitę, mirusią nuo uždusimo po to, kai socialiniame tinkle dalyvavo „užtemimo iššūkyje“.
Įmonės, siūlydamos informacinės visuomenės paslaugas vaikams, turi atkreipti dėmesį, kaip įsitikina jų amžiumi ir tėvų sutikimu ar leidimu, kai paslaugos siūlomos jaunesniems nei 14 metų amžiaus vaikams. Europos duomenų apsaugos valdyba gairėse dėl sutikimo paaiškina, kad jeigu informacinės visuomenės paslaugos teikėjas aiškiai nurodo, jog paslaugą siūlo tik asmenims nuo 18 metų ir nėra kitų tam prieštaraujančių įrodymų, ta paslauga nelaikoma „tiesiogiai siūloma vaikui“, todėl pareiga įsitikinti vartotojų amžiumi nebūtų taikoma. Visgi, Airijos duomenų apsaugos komisija teigia, jog negalima atleisti savęs nuo pareigos vaikų amžiaus patikrinimo, paprasčiausiai nurodant, kad jaunesni nei tam tikro amžiaus vaikai nėra laukiami platformoje ir (arba) paslaugoje.
Prancūzijos Nacionalinės informatikos ir laisvių komisija skelbia, kad 44 proc. 11-18 metų amžiaus vaikų yra melavę apie savo amžių socialiniuose tinkluose. Atlikusi lyginamąjį tyrimą, ši priežiūros institucija konstatavo, kad esamos arba planuojamos sistemos vaiko amžiaus patikrinimui iš esmės yra nepatenkinamos dviem aspektais: kai kurios grindžiamos masiniu asmens duomenų rinkimu (pvz., veido atpažinimas), o kitos yra neveiksmingos, nes nepilnamečiai jas pernelyg lengvai apeina (pvz., deklaratyvios sistemos arba patikra el. paštu).
Europos duomenų apsaugos valdyba gairėse dėl sutikimo pabrėžia, kad dėl amžiaus patikrinimo neturėtų būti tvarkoma pernelyg daug duomenų. Pagal pasirinktą duomenų subjekto amžiaus patikrinimo mechanizmą turėtų būti įvertinama ir siūlomo duomenų tvarkymo rizika. Kai kuriomis aplinkybėmis, kai rizika nedidelė, gali būti tikslinga reikalauti, kad naujas paslaugos užsakovas atskleistų savo gimimo metus arba užpildytų formą, kurioje pareikštų, kad yra (arba nėra) nepilnametis. Jei kiltų abejonių, duomenų valdytojas turėtų peržiūrėti konkrečiu atveju savo taikomus amžiaus patikrinimo mechanizmus ir apsvarstyti, ar reikėtų kitokių patikrinimų. Europos Komisija rekomenduoja taikyti tokias amžiaus patikrinimo priemones kaip, pavyzdžiui, klausimo, į kurį vidutinis vaikas negalėtų atsakyti, pateikimas arba reikalavimas, kad nepilnametis nurodytų kurio nors iš savo tėvų elektroninio pašto adresą, kad šis galėtų pateikti savo rašytinį sutikimą.
Nors Valstybinės duomenų apsaugos inspekcijos (VDAI) viešai prieinamoje praktikoje nėra atvejų, susijusių su informacinės visuomenės paslaugų siūlymu vaikams, požiūris į vaikų asmens duomenų tvarkymo pažeidimus yra pakankamai griežtas. Pavyzdžiui, 2020 m. VDAI nubaudė Vilniaus miesto savivaldybės administraciją 15 tūkst. eurų bauda už BDAR pažeidimus, susijusius su įvaikinto vaiko ugdymo prašymo duomenų tvarkymu.
Žingsniai, padėsiantys išvengti baudos
Atsižvelgiant į tai, kad rizika pažeisti nepilnamečių asmens duomenis yra nepaprastai didelė ir gali sukelti rimtą grėsmę verslui (užtraukti milžiniškas baudas ar nepataisomai pabloginti įmonės reputaciją), tokį asmens duomenų tvarkymą reiktų vertinti itin rimtai. Toliau aptariami 7 žingsniai, padėsiantys išvengti gresiančio asmens duomenų apsaugos pažeidimo bei, atitinkamai, baudos (ar bent ją sumažinti).
1 žingsnis. Naudotojų amžiaus nustatymas ir geriausių vaiko interesų užtikrinimas
Pirmiausia, turi būti įvertinama, ar siūlomos paslaugos gali būti aktualios nepilnamečiams ir, jei taip, kokioms konkrečioms jų amžiaus grupėms. Tai nustatyti padėtų rinkos tyrimai, pavyzdžiui, panašių programėlių naudotojų amžiaus rato analizė. Gautus tyrimo rezultatus rekomenduojama dokumentuoti, jog įmonė vėliau gebėtų įrodyti, jog pagrįstai nusprendė, kad nepilnamečiai asmenys iki 14 metų nesinaudos jų siūlomomis paslaugomis, todėl jai nekyla pareiga gauti sutikimus ar pasirūpinti papildomomis vaikų asmens duomenų apsaugos priemonėmis.
Naudotojų amžiaus nustatymas padės nustatyti efektyviausius bei mažiausiai finansinių išteklių reikalaujančius būdus, užtikrinsiančius geriausius vaiko interesus. Įmonės, atsižvelgdamos į turimas technologijas, privalo dėti pagrįstas pastangas, kad patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas.
2 žingsnis. Naudotojų amžių identifikuojančių priemonių įdiegimas ir sutikimų gavimas
Jei įmonė nustato, jog jos teikiamomis informacinės visuomenės paslaugomis nepilnamečiai iki 14 metų naudosis, ji privalo pasirūpinti, kad bus gauti pagal BDAR bei ADTAĮ reikalaujami vaikų atstovų sutikimai. Taigi, visų pirma, dar prieš paslaugų suteikimą (pavyzdžiui, prieš užsakant prekę elektroninėje parduotuvėje) turi būti patikrintas naudotojo amžius. Tai geriausiai padėtų padaryti tinkamai pasirinktos specialios naudotojų amžių identifikuojančios IT priemonės.
Tėvų ar globėjų sutikimo gavimui taip pat keliami specialūs reikalavimai, t. y. jis negali būti fiktyvus - verslo subjektai privalo įsitikinti jo tinkamumu. Įstatyminių atstovų sutikimų kontrolės priemonės bus veiksmingos, jei, pavyzdžiui, vieno iš tėvų e. pašto adresu bus siunčiama patvirtinimo žinutė. Taip pat svarbu, kad nepilnamečiams naudotojams būtų pateikta informacija apie tai, kad už juos sutikimą duoda jų įstatyminiai atstovai (kurie, atitinkamai, įspėjami apie vaiko teisę į privatumą), to sutikimo apimtį bei trukmę.
3 žingsnis. Skaidrumo principo laikymasis
BDAR imperatyviai įtvirtina pareigą kiekvienai įmonei, tvarkančiai vaikų asmens duomenis, imtis tinkamų priemonių pateikiant vaikams informaciją apie būsimą jų asmens duomenų tvarkymą bei visus su tokiu duomenų tvarkymu susijusius pranešimus glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia bei paprasta kalba. Informacijos pateikimui nepilnamečiams siūloma naudoti vizualizavimą, pavyzdžiui, karikatūras, vaizdo įrašus, lenteles, piktogramas, simbolius ir pan. - viską, kas padėtų vaikui geriau suprasti apie būsimą jo asmens duomenų tvarkymą. Tai ypač svarbu tais atvejais, kai dėl naudotojų gausos ir naudojamų technologijų sudėtingumo vaikui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka, kokiu tikslu ar visi jo asmens duomenys tikrai privalomi paslaugų teikimui.
4 žingsnis. Taisyklių, politikų bei kitų informacinių pranešimų naudojimas
Kiekvienas verslo subjektas, siūlantis nepilnamečiams asmenims paslaugas internetu (pvz., per interneto svetaines, socialinių tinklų profilius, mobiliąsias aplikacijas, programėles ar pan.), turi pasirūpinti, jog kiekviena iš jų pateiktų informaciją apie vykdomą asmens duomenų tvarkymą. Tokia informacija privalo būti nepilnamečiams lengvai prieinama, ją pateikti galima, pavyzdžiui, privatumo politikose, elgesio taisyklėse, amžiaus apribojimo nuostatose.
Jei vaikui yra daugiau nei 14, bet mažiau nei 18 metų ir sutikimą jis jau gali duoti pats, patartina naudoti papildomas informavimo priemones, pavyzdžiui, iššokančius informacinius langelius, kurie kiekvieną kartą dar prieš surenkant asmens duomenis įspėtų apie vykdomą asmens duomenų tvarkymą bei patartų dėl tokio duomenų pateikimo pasitarti su tėvais.
5 žingsnis. Buvimo vietos duomenų rinkimo vengimas
Privaloma vengti technologijų, skirtų nustatyti vaikų vietos buvimo duomenis, kadangi tokie duomenys kelia ypatingą pavojų vaikų saugumui. Jei paslaugų naudotojų vietos sekimas verslo subjektui yra būtinas ir neišvengiamas (pvz., kuomet įmonė rinkai siūlo navigacijos programėles telefone), kiekvieną kartą prieš tokį sekimo priemonių aktyvavimą privaloma aiškiai bei suprantamai informuoti nepilnametį asmenį apie tai, kad jo buvimo vietos duomenų sekimas yra įjungiamas. Atitinkamai, paslaugų teikėjas nebegali sekti vaiko buvimo vietos vos tik jam išjungus programėlę ar pasiekus kelionės tikslą.
6 žingsnis. Profilių sudarymo vengimas marketingo ar kitais tikslais
Duomenų tvarkymas, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai (pvz., siekiant analizuoti arba numatyti aspektus, susijusius su interneto naudotojų darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu), kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį, neturėtų būti naudojamas vaikams. Tai reiškia, jog verslo subjektai privalo vengti vaikų profilių sudarymo, o kai dėl verslo specifikos, tai yra neišvengiama - profiliavimas turėtų būti pasirenkamas aktyviais vaikų ar jų tėvų veiksmais, pavyzdžiui, pažymint varnele skiltį dėl profiliavimo įjungimo paslaugų teikėjo interneto svetainėje. Tiek nepilnamečiai, tiek jų įstatyminiai atstovai turi būti informuojami apie visas galimas profiliavimo rizikas bei neigiamas pasekmes.
7 žingsnis. Teisės atsiimti sutikimą užtikrinimas
Kiekvienas duomenų subjektas turi turėti teisę reikalauti ištaisyti jo asmens duomenis ir teisę būti pamirštam, kai tokių duomenų saugojimas pažeidžia BDAR. Ši teisė ypač svarbi tais atvejais, kai duomenų subjektas savo sutikimą išreiškė būdamas vaikas ir nevisiškai suvokdamas su duomenų tvarkymu susijusius pavojus, o vėliau nori, kad tokie - ypač internete saugomi - asmens duomenys būtų pašalinti. Duomenų subjektas turėtų galėti naudotis ta teise, nepaisant to, kad jis nebėra vaikas. Organizacijos privalo nustatyti ir gebėti įgyvendinti, pavyzdžiui, kliento norą atsiimti sutikimą dėl jo asmens duomenų tvarkymo.
Žinoma, tokia pilnamečiu tapusio asmens teisė nėra absoliuti. Tolesnis asmens duomenų saugojimas bus teisėtas, jei tai būtina naudojimosi teise į saviraiškos ir informacijos laisvę, siekiant įvykdyti teisinę prievolę, atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant pavestas viešosios valdžios funkcijas, dėl viešojo intereso priežasčių visuomenės sveikatos srityje, archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.