Prezentacja przygotowana na spotkanie dotyczące unijnej reformy prawa ochrony danych osobowych, które odbyło się 9.12.2016 w Ministerstwie Cyfryzacji

1. Czy nowe krajowe przepisy powinny
doprecyzować treść art. 8 ogólnego
rozporządzenia?
r. pr. Mirosław Gumularz

2. OBSZAR KOMPETENCJI
Artykuł 8
przetwarzanie danych osobowych dziecka – projekt z 2012
Do celów niniejszego rozporządzenia,
w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośredniodziecku,
przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem,
o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka.

3. Artykuł 8
Warunki wyrażenia zgody przez dziecko w przypadku usług
społeczeństwa informacyjnego
1. Jeżeli zastosowaniema art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego
oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych
dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest
zgodne z prawem wyłącznie w przypadkach, gdy zgodęwyraziła lub zaaprobowałają osoba
sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej
zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższągranicę wiekową, która
musi wynosić co najmniej 13 lat.
2. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne
starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem
wyraziła zgodę lub ją zaaprobowała.
3. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o
ważności, zawieraniu lub skutkach umowy wobec dziecka.

4. Zakres kompetencji prawodawczej
Art. 8 rodo przyznaje państwom członkowskim kompetencję uregulowania wyłącznie kwestii wieku dziecka w
kontekście zgody na przetwarzaniedanych w ramach usług społeczeństwa informacyjnego.
W szczególności przepis ten nie przyznaje państwom członkowskim kompetencji do:
a) modyfikacji wieku w ramach innych podstaw przetwarzania danych dziecka (przykład COPPA w USA /
projekt z 2012);
b) modyfikacjizasad związaniaumową jako podstawą przetwarzania danych;
c) określania mechanizmu wyrażania lub aprobowania zgody dziecka (tj. w jakiej sytuacji przedstawiciel
ustawowy może zgodę wyrazić samodzielnie a w jakiejwyłącznie potwierdza czynność dziecka);
d) określania tego kto i w jakim trybie może zgodę wycofać;
e) regulacji problemu zgody poza obszarem usług społeczeństwa informacyjnego;
f) regulacji problemu zgody osoby ubezwłasnowolnionej.

5. CEL regulacyjny
Określenie granicy wiekowej powyżej, której podmiot danych będzie samodzielnie wyrażał
zgodę na przetwarzanie danych osobowych w ramach usług społeczeństwa informacyjnego;
Wykładnia a contrario – powyżej przyjętej granicy wieku przedstawiciel ustawowynie może
w imieniu dziecka wyrażać zgody w ramach usług społeczeństwa informacyjnego.
Jakie jest uzasadnienie przyznanej kompetencji regulacyjnej (widełki 13-16)?

6. Konsekwencje art. 8 rodo – dwoistość podstaw?
Dwie równorzędne (alternatywne) podstawy przetwarzania danych, związane z podejmowaniem
autonomicznychdecyzji, określają odmienne kryteria skuteczności:
- zgoda – przepisy rozporządzenia;
- umowa – ogólne reguły prawa cywilnego (co potwierdza samorozporządzenie).
Teza:
przyznana kompetencja ma na celu dostosowanieRODO do systemówprawa prywatnego państw
członkowskich i uwzględnienie odmienności w tym zakresie.

7. Odwołanie do reguł prawa prywatnego w RODO?
Rozporządzenie samo odwołuje się (pośrednio) do prawa prywatnego w kontekście zgody.
Motyw 42:
Zgodnie z dyrektywą Rady 93/13/EWG(1) oświadczenie o wyrażeniu zgodyprzygotowane przez
administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnymi prostym
językiem i nie powinno zawierać nieuczciwych warunków.

8. Uwzględnienie prawa prywatnego może oznaczać dwa
podejścia:
I. ocenę zgody (rodo) pod kątem regulacji cywilnoprawnych - gdyby zgoda z rodo była
oświadczeniem woli (lub oświadczeniem do którego można stosować analogicznie k.c.) to jaki
wiek byłby odpowiedni z punktu widzenia prawa cywilnego? Jakie były konsekwencje przyjęcia
odmiennych progów wiekowych w rodo oraz k.c.?
II. ocenę czy stosowanieodmiennych reguł do „podobnych” podstawprzetwarzania danych:
zgody i umowy nie doprowadzi do problemów praktycznych skoro obie podstawy związanesą z
podejmowanie autonomicznych – świadomychdecyzji?

9. Doktryna w związku z brakiem regulacji kwestii wieku w uodo
1. zgoda z uodo = oświadczenie woli w rozumieniu k.c. / skuteczność na gruncie prawa
prywatnego = skuteczność w obrębie uodo
2. zgoda na przetwarzanie danych = oświadczenie do którego należy stosowaćanalogicznie
przepisy k.c. / skuteczność na gruncie prawa prywatnego = skuteczność w obrębie uodo
3. zgoda na przetwarzanie danych ≠ oświadczenie woli lub inne do którego możnastosować
przepisy k.c.
4. Dodatkowo można teoretycznie przyjąć: zgodaz uodo = oświadczenie woli w rozumieniu k.c. /
skuteczność na gruncie prawa prywatnego ≠skuteczność w obrębie uodo
Odnośnie pkt 1 i 2 nie ma jednolitego stanowiskaco do charakteru czynności prawnej – np. czy jest
to czynność prawna rozporządzająca? Zobowiązująca? czy wystarczy13 lat?

10. Problem z pkt I – zgoda a prawo prywatne
Zgoda na przetwarzanie danych ≠ czynność zobowiązująca
≠ czynność rozporządzająca (prawo podmiotowe osobiste)
+ Problem numerus clausus czynności jednostronnych
Zgoda z rodo to z punktu widzenia k.c.:
 jednostronna czynność prawna o charakterze upoważniającym
ewentualnie
 inne oświadczenie do którego stosuje art. 651 k.c.
dające podstawędo legalnej ingerencji w prawo podmiotowe – prawo do prywatności w ramach art.
24 k.c.
Efekt – granica wieku13 lat / bez zgody przedstawicielaustawowego

11. Konsekwencje przyjęcia w/w stanowiska
• pozostawienie granicy 16 lat może prowadzić do wielości ocen tego samegooświadczenia /
skuteczna w świetle k.c. zgoda legalizująca ingerencję w dobra osobiste mogła by nie być
skuteczna w obrębie rodo;
• wyłączenie innej interpretacji w odniesieniu do zgody dziecka pozaart. 8 rodo w oparciu o k.c. (13
lat k.c. / 16 lat RODO);

12. Obniżenie wieku nie będzie rodzić istotnych ryzyk dla dzieci
ponieważ:
• niezależnie od granicy wieku administrator powinien być w stanie wykazać, że osoba, której dane
dotyczą, wyraziła skutecznie zgodę tj. oświadczenie dobrowolne, świadome, jednoznaczne;
• informacje skierowane do dzieci muszą uwzględniać ich możliwości percepcji;
• rozporządzenie chroni przed traktowanie zgodyjako odpłatności za uzyskiwane świadczenie;
Art. 7 ust. 4 rodo: oceniając, czy zgodę wyrażono dobrowolnie, w jak największymstopniu
uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie
umowy, w tym świadczenie usługi, jeśliprzetwarzanie danych osobowych nie jest niezbędne do
wykonania tej umowy.

13. Obniżenie wieku a sytuacja przedsiębiorców(administratorów)
• niezależnie od granicy wieku administrator danych i tak będzie musiał wprowadzić mechanizmy
weryfikacji wieku (zgodnie z art. 8 ust. 2 ogólnego rozporządzenia administrator, uwzględniając
dostępną technologię, podejmuje rozsądnestarania, by zweryfikować, czy osoba sprawująca
władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała);
• niezależnie od granicy wieku wejdzie problem umowy jako podstawy przetwarzania danych.

14. Zgoda vs. umowa
Co w takim razie z problemem wskazanymw pkt II?
• W przypadku umów w typowych sytuacjach zgoda przedstawiciela ustawowegodziecka będzie
potrzebna ze względu na dwustronnie zobowiązujący charakter czynności z tym, że brak zgody nie
będzie pociągał negatywnych konsekwencji dla dziecka:
art. 18 § 3 k.c.: Strona, która zawarła umowę z osobą ograniczoną w zdolnoścido czynnościprawnych,
nie może powoływaćsię na brak zgodyjej przedstawiciela ustawowego. Możejednak wyznaczyćtemu
przedstawicielowiodpowiednitermin do potwierdzenia umowy; staje się wolna po bezskutecznym
upływie wyznaczonegoterminu.
Jaka jest praktyka?
• nawet zostawiając granicę 16 lat może powstać problem, iż w jednej relacji z administratorem zgoda
i akcept umowy będą wyrażane inaczej np. gdy dziecko ma 17 lat.

15. Kryterium wieku w innych systemach prawnych

16. USA
As a general rule, operators must get verifiable parentalconsentbefore collecting personal
information online from children under 13. Certain, limited exceptions let operators collect certain
personalinformation from a child before obtaining parentalconsent. See 16 C.F.R. § 312.5(c).

17. Kto obniża wiek?
• Belgia, Holandia, Francja?
In response to the questions left open by the GDPR, the Belgian Children’s rights Commissioner
already issued an advice urging the government to lower the age limit to 13 years. According to the
Commissioner, selecting a high minimum age and parental consent results in an over-
responsibilisation of the parents. However, one should not forget the responsibility of the providers
of social media. These providers can play an important role in the realisation of “protected
participation” of children and youngsters. As such, they should recognise children (13 years and
older) as consumers and adapt their policies to their audience. For instance, there should be a clear
explanation of the terms of use, clarity on paying elements of the service, as well as accessible
complaint mechanisms.
• Wielka Brytania – ICO sugeruje obniżenie wieku do 13 lat;
• Niemcy – brak w projekcie kwestii wieku – wydaje się, że zostaje 16.

18. Raport dostępnyna:
http://www.swps.pl/images/stories/zdjecia/eukidsonline/l_kirwil_raport_polska_eukidsonline_v3.pdf

22. Dziękuję za uwagę!