Статья 8 📖 GDPR. Условия, применимые к согласию ребенка в случае оказания услуг информационного общества

Стаття 8 GDPR. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільства

1. У разі застосування пункту (a) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини.

Руководство и прецедентное право Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Guidelines on Consent under Regulation 2016/679 (2018).

The inclusion of the wording ‘offered directly to a child’ indicates that Article 8 is intended to apply to some, not all information society services. In this respect, if an information society service provider makes it clear to potential users that it is only offering its service to persons aged 18 or over, and this is not undermined by other evidence (such as the content of the site or marketing plans) then the service will not be considered to be ‘offered directly to a child’ and Article 8 will not apply.

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (2018).

Where a data controller is targeting children[16] or is, or should be, aware that their goods/services are particularly utilised by children (including where the controller is relying on the consent of the child)[17], it should ensure that the vocabulary, tone and style of the language used is appropriate to and resonates with children so that the child addressee of the information recognises that the message/ information is being directed at them.[18] A useful example of child-centred language used as an alternative to the original legal language can be found in the “UN Convention on the Rights of the Child in Child Friendly Language”.[19]

Связанные статьи

Стаття 6 GDPR. Законність опрацювання

1. Опрацювання є законним, лише якщо виконано та мірою виконання принаймні однієї з наведених нижче умов:

(a) суб’єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;

[…]

Держави-члени можуть передбачити в законі нижчий вік для таких цілей за умови, що такий вік не є нижчим 13 років.

2. Контролер повинен докласти розумних зусиль для перевірки в таких випадках того, що згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини, з урахуванням наявних технологій.

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

(EN) Example. An online gaming platform wants to make sure underage customers only subscribe to its services with the consent of their parents or guardians. The controller follows these steps:

Step 1: ask the user to state whether they are under or over the age of 16 (or alternative age of digital consent)If the user states that they are under the age of digital consent:

Step 2: service informs the child that a parent or guardian needs to consent or authorise the processing before the service is provided to the child. The user is requested to disclose the email address of a parent or guardian.

Step 3: service contacts the parent or guardian and obtains their consent via email for processing and take reasonable steps to confirm that the adult has parental responsibility.

Step 4: in case of complaints, the platform takes additional steps to verify the age of the subscriber. If the platform has met the other consent requirements, the platform can comply with the additional criteria of Article 8 GDPR by following these steps.

Source: EDPB, Guidelines on Consent under Regulation 2016/679, WP259 rev.01 (2018)

Руководство и прецедентное право

(EN) Article 29 Working Party, Guidelines on Consent under Regulation 2016/679, WP259 rev.01 (2018):

What is reasonable, both in terms of verifying that a user is old enough to provide their own consent, and in terms of verifying that a person providing consent on behalf of a child is a holder of parental responsibility, may depend upon the risks inherent in the processing as well as the available technology. In low-risk cases, verification of parental responsibility via email may be sufficient. Conversely, in high-risk cases, it may be appropriate to ask for more proof, so that the controller is able to verify and retain the information pursuant to Article 7(1) GDPR. Trusted third party verification services may offer solutions which minimise the amount of personal data the controller has to process itself.

3. Пункт 1 не впливає на загальне договірне право держав-членів, таке як правила щодо законності, укладення чи наслідків контракту для дитини.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 8(3) GDPR:

7.2.2 Определение правового основания

Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
Правовое основание для обработки ПИИ может включать в себя:

…

Войти
для доступа к полному тексту

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Дети пользуются особой защитой в соответствии с GDPR, поскольку они считаются уязвимыми лицами (Guidelines on Consent). Они еще не достигли физической и психологической зрелости (Opinion 2/2009), поэтому они могут быть в меньшей степени, чем взрослые, осведомлены о рисках и последствиях распространения своей личной информацией при регистрации в онлайн-сервисах или использовании подключенных платформ (преамбула 38).

Статья 8 касается ограниченного числа ситуаций. Из формулировки данной статьи, рассматриваемой в совокупности со статьей 6(1) (а), следует, что она применяется только при условии соблюдении двух нижеуказанных положений…

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 8(1) и 8(2) GDPR:

7.2.3 Дисциплинарные меры

Средство управления

Должен быть разработан и доведен до сведения персонала процесс для принятия мер к тем сотрудникам, которые допустили нарушение требований информационной безопасности.

Руководство по внедрению

Дисциплинарные меры не могут быть применены без предварительной проверки того, что нарушение информационной безопасности действительно имело место (см. 16.1.7).

…

Войти
для доступа к полному тексту

Преамбулы

(38) Діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині. Згоду особи, що несе батьківську відповідальність, не можна вимагати в контексті надання профілактичних або консультаційних послуг безпосередньо дитині.

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2009 on the Protection of Children’s Personal Data (General Guidelines and the Special Case of Schools) (2009).

EDPB, Guidelines 5/2020 on Consent under Regulation 2016/679 (2020).

ICO, Age Appropriate Design: A Code of Practice for Online Services (2020).

Case Law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).

Оставить комментарий

[js-disqus]