איסוף מידע על קטינים לאור רגולציות הפרטיות

אחת הסוגיות שרגולציית הפרטיות האירופית, ה-GDPR, מתייחסת אליה – הינה סוגיית איסוף מידע של קטינים. רגולציית ה-GDPR כוללות הוראות שנועדו להגן על המידע האישי של הילד כאשר שירותים מוצעים ישירות לילד. כך למשל, על בעל מאגר ו/או מעבד לוודא שהודעת הפרטיות כתובה בצורה ברורה ומובנת לקטינים.

במקרה של הצעת שירות מקוון לילדים, נקבע כי ילד מתחת לגיל 16 אינו יכול לתת את הסכמתו בעצמו לעיבוד המידע בעניינו ונדרשת הסכמת הורה או אפוטרופוס. על בעל המאגר לעשות מאמצים סבירים לוודא שמדובר באחראי על הילד, בהתחשב בזמינות של אמצעים טכנולוגים בהקשר זה.

אבל מה קורה עם ארגונים, בעיקר ארגונים ציבוריים, אשר כן אמורים לאסוף ולשמור מידע על קטינים?

עבור ארגונים העוסקים בשירותים שנועדו לילדים, כמו למשל, שירותי הרווחה לילדים המכילים כמות ניכרת של נתונים אישיים על המשפחות והילדים שבהם הם מעורבים, המידע נע בין נתונים דמוגרפיים בסיסיים לנתונים איכותיים מעמיקים, ולעתים משתרע על פני עשרות שנים.

כאבי ראש משמעותיים

רגולציית ה-GDPR מציגה שכבת מורכבות חסרת תקדים, מגילאים שונים של הסכמה ברחבי האיחוד האירופי ועד לדרישות חוזרות לקבלת נתונים מסוכנויות שונות, ואפשרות לספק הסברים פשוטים וידידותיים לילדים המודיעים גם על הסכמה עבור שיתוף נתונים. כל הבעיות הללו יכולות לגרום לכאבי ראש משמעותיים.

נכון לעכשיו, הרשויות המקומיות צריכות לשתף נתונים עם עמיתים העובדים בשירותים ציבוריים אחרים, כגון בריאות ומשטרה, אם הדבר נחוץ למטרות הגנה על ילדים. הדרך שבה הדברים מתבצעים היום והדרישות המקדימות צפויים להשתנות תחת GDPR.

לקראת כניסתן לתוקף של התקנות החדשות, יש להבין שתי נקודות עיקריות הנדרשות מאותם ארגונים העוסקים בשירותי ילדים, בכל הנוגע למוכנתם לתאימות הרגולציה.

● הסכמה – עבור ילדים מתחת לגיל 16 נדרשת הסכמת ההורים, הנדרשים לאשר את הסכמת הילד לשימוש בנתוניו האישיים. אך דרישה זו עלולה שלא להתאים במקרים בהם מדובר על ילדים המטופלים על ידי שירותי הרווחה, שכן במקרים אלה לא בטוח שהאינטרסים של ההורים עולים בקנה אחד עם טובת הילד.

● שיתוף מידע – שירותי רווחה הניתנים לילדים מתבקשים באופן שגרתי לשתף נתונים אישיים עם גופים ציבוריים מקומיים אחרים כחלק מגישה רב-סוכנותית. צוותי השירותים לילדים צריכים להיות מוכנים להסביר לילדים עם אחריות הורית – מי יכול לגשת לנתונים שלהם ומדוע. תחת ה-GDPR, הארגון שאוסף את הנתונים אחראי להסביר זאת בצורה ברורה ומפורטת. קבלת הסכמה מדעת מוקדמת תחסוך זמן ומאמץ.

חשוב לזכור כי רגולציית ה-GDPR נועדה להגן על הפרטיות של הקטינים, ולא על הארגונים. אי לכך, על הארגונים העוסקים באיסוף ועיבוד פרטי מידע של קטינים להתכונן, אבל לא להיכנס לפאניקה.

רגולציית הפרטיות מרחיבה את ההגדרות של איסוף ועיבוד נתונים אישיים ומציינת שההסכמה חייבת להיות חד-משמעית, מפורשת ורשומה. אין בכך שינוי של ממש, אבל ישנו חידוד כי איסוף ועיבוד המידע האישי מחייב הבנה מלאה של התנאים וההגבלות.

הרגולציה נועדה לנסות להבטיח שכל איסוף או עיבוד מידע ילווה בהסבר בשפה שכל אחד, כולל ילדים, יכול להבין. אם הדבר נעשה כראוי, השינוי הנדרש תחת GDPR צריך להפוך את הגנת הנתונים קלה יותר לכולם הן מבחינת ניהול והן מבחינת הבנה – משתמשים, נותני שירות ואנשי מקצוע כאחד.

הכותבות אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק