Ar vaikų gynimo dieną galime patikinti vaikus, kad gerbiame jų teisę į asmens duomenų apsaugą?

Prieš keturis metus pradėtame taikyti Bendrajame duomenų apsaugos reglamente išskirtinis dėmesys skirtas vaikų asmens duomenų tvarkymui. Nustatyta pareiga veiklos subjektams užtikrinti, kad informacinės visuomenės paslaugos (įvairūs socialiniai tinklai, elektroninio paštas, elektroninės parduotuvės ir pan.) tiesiogiai vaikui bus siūlomos tik jeigu jis yra bent 16 metų amžiaus. Lietuvos nacionalinis teisės aktas – Asmens duomenų teisinės apsaugos įstatymas – numato žemesnę šio amžiaus ribą – 14 metų. Minėtos taisyklės galima nesilaikyti tik tuo atveju, jeigu yra gautas vaiko tėvų pareigų turėtojo sutikimas ar leidimas.

Europos Sąjungos valstybių narių institucijų, įgaliotų atlikti Bendrojo duomenų apsaugos reglamento priežiūrą, patirtis rodo, kad vis dėlto, didieji socialiniai tinklai nespėjo koja kojon su Bendrojo duomenų apsaugos reglamento taikymo pradžia užtikrinti šios apsaugos vaikams. Prieš keletą metų nuskambėjo liūdna istorija apie 10 metų italę mergaitę, mirusią nuo uždusimo po to, kai socialiniame tinkle dalyvavo vadinamajame užtemimo iššūkyje (angl. Blackout Challenge). 2021 m. sausio mėnesį Italijos duomenų apsaugos institucija uždraudė video dalijimosi platformai TikTok rinkti ir naudoti tų naudotojų asmens duomenis, kurių amžiumi šios platformos valdytojas nėra tikras.

Įmonės siūlydamos tiesiogiai informacinės visuomenės paslaugas vaikams turi atkreipti dėmesį, ar jos įsitikina jų amžiumi ir kaip įsitikina tėvų sutikimu ar leidimu, kai jos siūlomos jaunesniems nei 14 metų amžiaus vaikams. Europos duomenų apsaugos valdyba gairėse dėl sutikimo paaiškina, kad jeigu informacinės visuomenės paslaugos teikėjas galimiems vartotojams aiškiai nurodo, kad savo paslaugą siūlo tik asmenims nuo 18 metų, ir nėra kitų tam prieštaraujančių įrodymų (tokių kaip atitinkamos interneto svetainės turinys ar rinkodaros planai), ta paslauga nelaikoma „tiesiogiai siūloma vaikui“ , todėl jam tokia pareiga įsitikinti vartotojų amžiumi nebūtų taikoma. Visgi, Airijos duomenų apsaugos komisija, teigia, jog negalite atleisti savęs nuo pareigos vaikų amžiaus patikrinimo atžvilgiu, paprasčiausiai nurodydami, kad jaunesni nei tam tikro amžiaus vaikai nėra laukiami jūsų platformoje ir (arba) paslaugoje. Jei jūsų paslauga nėra skirta jaunesniems nei tam tikro amžiaus vaikams, turite imtis priemonių užtikrinti, kad jūsų amžiaus patikros mechanizmai būtų veiksmingi ir neleistų jaunesniems nei tam tikro amžiaus vaikams naudotis jūsų paslauga.

Prancūzijos Nacionalinės informatikos ir laisvių komisija (pranc. Commission Nationale de l’Informatique et des Libertés) skelbia, kad 44 proc. 11-18 m. amžiaus vaikų yra melavę apie savo amžių socialiniuose tinkluose. Minėta priežiūros institucija atlikusi lyginamąją tyrimą konstatavo, kad esamos arba planuojamos sistemos vaiko amžiaus patikrinimui iš esmės yra nepatenkinamos dviem aspektais. Kai kurios iš jų grindžiamos masiniu asmens duomenų rinkimu (pvz., veido atpažinimas), todėl atrodo, kad sunku laikytis duomenų apsaugos principų. Kitos, ne tokios įkyrios, yra neveiksmingos, nes nepilnamečiai jas pernelyg lengvai apeina (pvz., deklaratyvios sistemos arba patikra el. paštu). Kalbant apie vaiko tėvų pareigų turėtojo sutikimą ar leidimą, reikia nepamiršti, kad vaiko tėvų pareigas dažnu atveju vykdo ne vienas, o abu tėvai, nepriklausomai nuo jų santykių (susituokę, išsituokę ir pan.).

Europos duomenų apsaugos valdyba gairėse dėl sutikimo pabrėžia, kad dėl amžiaus patikrinimo neturėtų būti tvarkoma pernelyg daug duomenų. Pagal pasirinktą duomenų subjekto amžiaus patikrinimo mechanizmą turėtų būti įvertinama ir siūlomo duomenų tvarkymo rizika. Kai kuriomis aplinkybėmis, kai rizika nedidelė, gali būti tikslinga reikalauti, kad naujas paslaugos užsakovas atskleistų savo gimimo metus arba užpildytų formą, kurioje pareikštų, kad yra (arba nėra) nepilnametis. Jei kiltų abejonių, duomenų valdytojas turėtų peržiūrėti konkrečiu atveju savo taikomus amžiaus patikrinimo mechanizmus ir apsvarstyti, ar reikėtų kitokių patikrinimų. Deja,  Prancūzijos Nacionalinės informatikos ir laisvių komisija savo internetiniame puslapyje pastebi, kad „stebuklingo sprendimo“ kol kas nėra. Europos Komisija rekomenduoja taikyti tokias amžiaus patikrinimo priemones kaip, kad, pavyzdžiui, klausimo, į kurį vidutinis vaikas negalėtų atsakyti, pateikimas arba reikalavimas, kad nepilnametis nurodytų kurio nors iš savo tėvų elektroninio pašto adresą, kad šis galėtų pateikti savo rašytinį sutikimą. Airijos duomenų apsaugos komisijos, skyrusios didelį dėmesį vaikų asmens duomenų apsaugai, nuomone, mažai tikėtina, kad amžiaus patikros klausimas bus išspręstas vieninteliu visiems tinkančiu būdu.

Apibendrinant, galima pastebėti, jog kiekvienu atskiru atveju duomenų valdytojams, laikantis pritaikytosios ir standartizuotos duomenų apsaugos principų, tenka pareiga pasirūpinti, kad vaikų teisės ir interesai būtų apsaugoti, pagrįstomis pastangomis įsitikinant, kad informacinės visuomenės paslaugos vaikams bus siūlomos tiesiogiai tik įsitikinus, kad jis yra sulaukęs 14 m. amžiaus, arba, esant jaunesnio amžiaus vaikui, – tik esant vaiko tėvų pareigų turėtojų sutikimui ar leidimui.

Ne ką mažiau svarbu, ir atliekamo asmens duomenų tvarkymo skaidrumas, kuris siejamas su pareiga aiškiai, paprastai, suprantama kalba informuoti asmenį, kas daroma su jo asmens duomenimis ir kodėl. Regis, TikTok ir šiuo aspektu sulaukė priežiūros institucijų dėmesio. Šį kartą Nyderlandų duomenų apsaugos institucija skyrė 750 000 eurų baudą už mažamečių vaikų privatumo pažeidimą, kadangi privatumo pranešimą vaikams TikTok pateikė anglų kalba, o nepateikdamas jo olandų kalba, TikTok tinkamai nepaaiškino, kaip programėlė renka, tvarko ir naudoja asmens duomenis. Minėta institucija akcentavo, kad vaikai prasčiau suvokia savo veiksmų pasekmes, įskaitant dalijimosi asmens duomenis socialinėje žiniasklaidoje pasekmes, būtent todėl jiems pagal duomenų apsaugos teisė aktus suteikiama papildoma apsauga. Čia suklusti turi ir Lietuvoje veikiantys, informacinės visuomenės paslaugas siūlantys asmenys, bei pasitikrinti, ar jų pateikiama informacija apie asmens duomenų tvarkymą vaikams gali būti laikoma aiškia, paprasta ir lengvai jiems suprantama.

Nors iš viešai prieinamos Valstybinės duomenų apsaugos inspekcijos skelbiamos praktikos nematyti, kad ši institucija būtų nagrinėjusi atvejų, susijusių su informacinės visuomenės paslaugų siūlymu vaikams, tenka pažymėti, kad požiūris į vaikų asmens duomenų tvarkymo pažeidimus yra pakankamai griežtas. Štai, 2020 m. Valstybinė duomenų apsaugos inspekcija nubaudė Vilniaus miesto savivaldybės administraciją už Bendrojo duomenų apsaugos reglamento pažeidimus. 15 tūks. eurų bauda (25 proc. maksimalios baudos dydžio, taikomo valdžios institucijoms) skirta dėl netinkamai tvarkomų įvaikinto vaiko tėvų asmens duomenų.

Vaikų gynimo dieną ne tik palepinkime juos išskirtiniu dėmesiu, bet ir pasirūpinkime jų teisių apsauga, nesudarydami galimybės vaikams, negebantiems pagal savo amžių įvertinti savo asmens duomenų dalijimosi skaitmeninėje erdvėje pavojų, ir būkime atviri vaikams, paaiškindami, kas nutiks su jų asmens duomenimis, pasitelkdami jiems labiausiai suprantamus informavimo būdus.

Parengė Daiva Tamulionienė, advokatų kontoros ILAW LEXTAL vyresnioji teisininkė