Buna ziua,
Am dezvoltat o platforma educationala si am vazut ca GDPR are niste prevederi legate de utilizatorii minori sub 16 ani. Ce ar trebui sa fac pentru a fi in regula fara sa restrictionez accesul persoanelor sub 16 ani pe platforma mea?
Referitor la intrebarea ta, in momentul furnizarii de catre un utilizator a numelui sau, se realizeaza o prelucrare a datelor sale personale (numele) prin intermediului site-ului tau. Cat priveste posibilitatea furnizarii unui nume fals, pana la proba contrara, datele furnizate de utilizatorii site-ului sunt considerate ca fiind conforme cu realitatea, asa incat, o atfel de situatie nu afecteaza si nu inlatura obligatiile stabilite de GDPR in materia protectiei datelor personale.
Din detaliile oferite, inteleg ca platforma dezvoltata de tine presupune inregistrarea utilizatorilor (indiferent de varsta) pe site, ceea ce reprezinta o prelucrare a datelor personale. In acest sens, pentru a fi conform cu GDPR, este necesar ca, inainte de prelucrarea datelor, sa iei urmatoarele masuri:
– publicarea pe site a unei note de informare care trebuie sa contina detalii despre cine esti, de ce (in ce scop) prelucrezi date personale, perioada pentru care datele sunt stocate si cine este destinatarul datelor;
– obtinerea unui consimtamant neechivoc – atunci cand este necesar – inainte de prelucrarea datelor personale (de exemplu: un click prin care utilizatorul isi exprima acordul sau dezacordul cu privire la prelucrarea datelor prin intermediul cookie-urilor, cum ar fi: “Utilizam cookie-uri pentru a ne asigura ca va oferim o experienta optima de navigare pe site-ul nostru. Pentru informatii suplimentare, consultati pagina cum utilizam cookie-urile si cum puteti schimba setarile. Accept cookie-urile/ Refuz cookie-urile.”).
Pentru prelucrarea prin orice modalitate a numelui sau a oricaror date personale ale copiilor sub varsta de 16 ani, fie la inregistrare, fie la editarea profilului personal, consider ca este necesara obtinerea consimtamantului expres si neechivoc inainte de prelucrare, respectiv inainte de furnizarea acestor date de catre utilizatori.
Mentionez ca obligatia de a obtine consimtamantul persoanei vizate pentru prelucrarea datelor sale nu se aplica exclusiv in cazul activitatilor de marketing sau creare de profile.
In concluzie, in cazul in care site-ul tau prelucreaza orice date personale (nume si prenume/ adresa/ telefon/ date de trafic/ adresa IP/ cookie-uri/ comportament pe site etc.), indiferent de varsta utilizatorilor, este necesara luarea masurilor prevazute de GDPR pentru protectia a datelor personale. In plus, in cazul in care sunt prelucrate date personale ale copiilor sub varsta de 16 ani, este necesara luarea unor masuri suplimentare, respectiv obtinerea acordului sau autorizarii consimtamantului din partea parintelui / tutorelui inainte de prelucrare.
Asa cum am mentionat in raspunsul anterior, pentru a verifica daca parintele / tutorele si-a dat acordul sau a autorizat consimtamantul minorului care acceseaza platforma educationala, este necesara adoptarea unor masuri tehnice rezonabile, pe baza pe baza tehnologiilor disponibile, care sa iti ofere posibilitatea de a efectua astfel de verificari.
Cu titlu de exemplu, una dintre solutiile implementate de alti detinatori de site-uri este adaugarea unui formular sa cuprinda informarea cu privire la prelucrarea datelor si solicitarea unei declaratii cu privire la varsta utilizatorului:
“Prin intermediul acestui formular sunt colectate numele tau si adresa de email in scopul furnizarii serviciilor noastre. Pentru informatii suplimentare, poti accesa Politica de Protectie a Datelor Personale la urmatorul link.”
(bifarea unei casute) “Declar ca am implinit/ nu am implinit varsta de 16 ani si sunt de acord/ nu sunt de acord cu prelucrarea datelor personale de catre ABC SRL.”
In cazul in care utilizatorul declara ca nu a implinit varsta de 16 ani, i se va cere sa furnizeze un e-mail al parintelui pentru obtinerea consimtamantului. Parintele va fi informat pe e-mail cu privire la prelucrarea datelor și i se va cere acordul: (bifarea unei casute) “Sunt parintele/ tutorele minorului si sunt de acord cu prelucrarea datelor personale ale minorului de catre ABC SRL.”
GDPR a adus in discutie importanta datelor personale apartinand copiilor, motivat de faptul ca acestia “au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal”.
GDPR subliniaza faptul ca aceasta protectie este necesara, in special, in contextul activitatilor de marketing adresat copiilor, crearea de profiluri de personalitate sau de utilizator, al colectarii datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor (respectiv, in general in contextul serviciilor oferite de societatile informationale).
In acest sens, asa cum ai mentionat deja, GDPR stabileste ca prelucrarea datelor minorilor pe baza de consimtamant va fi legala doar daca minorul care si-a dat consimtamantul are cel putin 16 ani. Totusi, GDPR ofera libertatea statelor UE de a stabili o limita minima de varsta mai mica, insa care nu poate fi sub 13 ani.
Prin urmare, pentru ca site-ul tau sa functioneze in conformitate cu GDPR in ceea ce priveste prelucrarea datelor copiilor sub varsta de 16 ani, va fi necesar acordul sau autorizarea consimtamantului din partea parintelui / tutorelui. Pentru a verifica daca parintele / tutorele si-a dat acordul sau a autorizat consimtamantul minorului care acceseaza platforma educationala, este necesara adoptarea unor masuri tehnice rezonabile, pe baza pe baza tehnologiilor disponibile, care sa iti ofere posibilitatea de a efectua astfel de verificari.
In cazul in care astfel de verificari cu privire la varsta utilizatorilor sau acordarea/ autorizarea consimtamantului de catre parinte/ tutore nu pot fi sigure, este de preferat sa ai o abordare precauta, ceea ce se poate traduce prin:
In fine, pentru a asigura conditia GDPR privind “consimtamantul informat” al persoanei vizate, in cazul minorilor, notele de informare care stau la baza consimtamantului trebuie sa fie exprimate intr-un limbaj simplu si clar, astfel incat minorii sa il poata intelege cu usurinta, exigentele in ceea ce priveste simplitatea si accesibilitatea limbajului fiind si mai stricte.
Multumesc mult pentru raspuns. Eu la inregistrare nu fac distinctie de varsta si iau doar numele unde ei pot sa scrie orice. Nu fac profile pentru reclame sau marketing. Daca trimit ceva, trimit strict pe baza problemelor rezolvate pe platforma.
Sa nu le mai cer numele cand se inregistreaza si sa poata sa-si puna ei atunci cand isi editeaza profilul personal?