Статья 8 📖 GDPR. Условия, применимые к согласию ребенка в случае оказания услуг информационного общества

8. cikk GDPR. A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában

(1) Ha a 6. cikk (1) bekezdésének a) pontja alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Руководство и прецедентное право Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Guidelines on Consent under Regulation 2016/679 (2018).

The inclusion of the wording ‘offered directly to a child’ indicates that Article 8 is intended to apply to some, not all information society services. In this respect, if an information society service provider makes it clear to potential users that it is only offering its service to persons aged 18 or over, and this is not undermined by other evidence (such as the content of the site or marketing plans) then the service will not be considered to be ‘offered directly to a child’ and Article 8 will not apply.

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (2018).

Where a data controller is targeting children[16] or is, or should be, aware that their goods/services are particularly utilised by children (including where the controller is relying on the consent of the child)[17], it should ensure that the vocabulary, tone and style of the language used is appropriate to and resonates with children so that the child addressee of the information recognises that the message/ information is being directed at them.[18] A useful example of child-centred language used as an alternative to the original legal language can be found in the “UN Convention on the Rights of the Child in Child Friendly Language”.[19]

Связанные статьи

6. cikk GDPR. Az adatkezelés jogszerűsége

(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

[…]

A tagállamok e célokból jogszabályban ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak.

(2) Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

(EN) Example. An online gaming platform wants to make sure underage customers only subscribe to its services with the consent of their parents or guardians. The controller follows these steps:

Step 1: ask the user to state whether they are under or over the age of 16 (or alternative age of digital consent)If the user states that they are under the age of digital consent:

Step 2: service informs the child that a parent or guardian needs to consent or authorise the processing before the service is provided to the child. The user is requested to disclose the email address of a parent or guardian.

Step 3: service contacts the parent or guardian and obtains their consent via email for processing and take reasonable steps to confirm that the adult has parental responsibility.

Step 4: in case of complaints, the platform takes additional steps to verify the age of the subscriber. If the platform has met the other consent requirements, the platform can comply with the additional criteria of Article 8 GDPR by following these steps.

Source: EDPB, Guidelines on Consent under Regulation 2016/679, WP259 rev.01 (2018)

Руководство и прецедентное право

(EN) Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, WP259 rev.01 (2018):

What is reasonable, both in terms of verifying that a user is old enough to provide their own consent, and in terms of verifying that a person providing consent on behalf of a child is a holder of parental responsibility, may depend upon the risks inherent in the processing as well as the available technology. In low-risk cases, verification of parental responsibility via email may be sufficient. Conversely, in high-risk cases, it may be appropriate to ask for more proof, so that the controller is able to verify and retain the information pursuant to Article 7(1) GDPR. Trusted third party verification services may offer solutions which minimise the amount of personal data the controller has to process itself.

(3) Az (1) bekezdés nem érinti a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 8(3) GDPR:

7.2.2 Определение правового основания

Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
Правовое основание для обработки ПИИ может включать в себя:

…

Войти
для доступа к полному тексту

Általános adatvédelmi rendelet (GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Дети пользуются особой защитой в соответствии с GDPR, поскольку они считаются уязвимыми лицами (Guidelines on Consent). Они еще не достигли физической и психологической зрелости (Opinion 2/2009), поэтому они могут быть в меньшей степени, чем взрослые, осведомлены о рисках и последствиях распространения своей личной информацией при регистрации в онлайн-сервисах или использовании подключенных платформ (преамбула 38).

Статья 8 касается ограниченного числа ситуаций. Из формулировки данной статьи, рассматриваемой в совокупности со статьей 6(1) (а), следует, что она применяется только при условии соблюдении двух нижеуказанных положений…

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 8(1) и 8(2) GDPR:

7.2.3 Дисциплинарные меры

Средство управления

Должен быть разработан и доведен до сведения персонала процесс для принятия мер к тем сотрудникам, которые допустили нарушение требований информационной безопасности.

Руководство по внедрению

Дисциплинарные меры не могут быть применены без предварительной проверки того, что нарушение информационной безопасности действительно имело место (см. 16.1.7).

…

Войти
для доступа к полному тексту

Преамбулы

(38) A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2009 on the Protection of Children’s Personal Data (General Guidelines and the Special Case of Schools) (2009).

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

ICO, Age Appropriate Design: A Code of Practice for Online Services (2020).

Case Law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

Оставить комментарий

[js-disqus]