GDPR, sociální služby a svéprávnost dítěte

V souvislosti s implementací nařízení GDPR v oblasti ochrany osobních údajů se začaly množit otázky, zda článek 8 GDPR nějakým způsobem modifikuje svéprávnost dítěte spojenou s povinností poskytovatele sociálních služeb zajistit pro právní jednání dětí souhlas jejich zákonných zástupců. Považujeme za nutné tuto otázku blíže objasnit, aby nedocházelo k omylům.

Nejprve vysvětlení některých pojmů

Pojem svéprávnost definuje zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů
(„OZ“). Svéprávnost představuje způsobilost člověka činit právní jednání, tj. uzavírat smlouvy, vzdávat se práv, udělovat souhlasy k různým úkonům včetně např. ke zpracování osobních údajů podle GDPR.

Podle § 30 OZ se plně svéprávným stává člověk zletilostí, tj. dovršením osmnáctého roku věku. Před nabytím zletilosti lze plnou svéprávnost nabýt uzavřením manželství, nebo přiznáním svéprávnosti. Nezletilé dítě tedy nemá ze zákona plnou svéprávnost, avšak to neznamená, že by nemohlo platně uskutečňovat žádná právní jednání. Podle § 31 OZ se totiž má za to, že každý nezletilý je způsobilý k právním jednáním co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jeho věku.

Rozumovou vyspělostí se rozumí schopnost posoudit následky svého vlastního jednání. Nezletilý tedy musí být schopen pochopit jak podstatu právního jednání, tak i hlavní následky takového jednání, a to jak pozitivní, tak i negativní včetně rizik s tím spojených. Volní vyspělostí se rozumí schopnost své jednání ovládnout, tj. rozhodnout se s plnou vážností a svobodně.

Pro případ, že nezletilý není způsobilý konkrétní právní jednání učinit, je zapotřebí, aby k tomu udělil souhlas alespoň jeden zákonný zástupce nezletilého.

Právní jednání nezletilých v praxi

Je zřejmé, že čím vyšší je věk nezletilého, tím se zvyšuje jeho rozumová a volní vyspělost (princip postupného nabývání svéprávnosti). U řady nezletilých proto vůbec nezpochybňujeme, že jsou schopny nakoupit některé zboží v obchodě (a tím uzavřít kupní smlouvu), ale u některých jiných právních jednání je situace k posouzení složitější. Aby se v některých případech předešlo dohadům o tom, zda jednání bylo nezletilcem učiněno platně či nikoli, právní předpisy u určitých jednání posouvají věkovou hranici nezletilce a výslovně stanoví, že k takovým konkrétním jednáním je nezletilec plně způsobilý. Typickým příkladem takovéto zákonné úpravy je § 35 OZ, který stanoví, že nezletilý, který dovršil 15 let a ukončil povinnou školní docházku, se může zavázat k výkonu závislé práce (tj. může uzavřít pracovněprávní vztah), aniž by k tomu potřeboval souhlas zákonného zástupce.

GDPR a zpracování osobních údajů nezletilých

Poskytovatelé sociálních služeb řeší otázku, zda souhlas se zpracováním osobních údajů nezletilých dětí může udělit samo dítě (klient sociální služby), nebo zda takový souhlas podléhá udělení souhlasu jeho zákonného zástupce. Často argumentují tím, že GDPR přineslo právě v oblasti zpracování osobních údajů průlom a zavedlo nižší věkovou hranici přiznávající způsobilost nezletilých. Podle článku 8 GDPR totiž může dítě ve věku nejméně 16 let udělit souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních údajů informační společnosti v souvislosti s nabídkou služeb. GDPR dokonce umožňuje, aby členské státy pro uvedené účely stanovily nižší věk (minimálně 13 let); první návrhy připravovaného zákona o ochraně osobních údajů s takovou nižší hranicí počítají.

Jak je to tedy se souhlasem dítěte se zpracováním jeho osobních údajů

Nejprve si připomeňme, že souhlas subjektu údajů (např. klienta služby, kterým velmi často je i dítě) se zpracováním jeho osobních údajů nemá být vůbec žádán a získáván v případě, že pro zpracování existuje jiný právní titul; poskytovatel sociální služby totiž velmi často disponuje jiným zákonným titulem pro zpracování údajů – např. posouzení žádosti po poskytnutí služby, plnění uzavřené smlouvy o poskytování sociální služby, plnění povinnosti ve vztahu k poskytovateli veřejných prostředků, sledování oprávněných zájmů apod.).

Pokud poskytovatel sociální služby vyhodnotí, že souhlas dítěte se zpracováním některého osobního údaje je přece jen nezbytný, pak platí, že nařízení GDPR upravuje otázku souhlasu poskytovaného přímo dítětem pouze v kontextu poskytování služeb informační společnosti (např. založení a využívání emailového účtu, účtu na sociálních sítích). Proto nelze zvláštní ustanovení v čl. 8 GDPR umožňující poskytnutí souhlasu přímo dítětem ve věku nejméně 16 let aplikovat plošně na sociální služby. Naopak se zde použije výše zmíněna obecná úprava OZ o způsobilosti k právnímu jednání.

Ostatně i samotný článek 8 GDPR ve svém odstavci 3 výslovně stanoví, že ustanovením snižujícím hranici způsobilosti ve vztahu k informační společnosti není obecně dotčeno smluvní právo členských států, např. pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

S ohledem na popsaný koncept postupného nabývání svéprávnosti vzniká otázka, zda udělení souhlasu se zpracováním osobních údajů je právní jednání, k němuž je člověk způsobilý až dosažením zletilosti, či dříve, a případně v jakém rozsahu.

Protože na platnosti souhlasu může v některých případech stát i zákonnost zpracování osobních údajů dítěte dle GDPR, praxe zatím volí opatrný přístup poskytovatelů, kterému v zásadě nelze nic vytknout. Doporučuje se vždy získat souhlas zákonného zástupce (rodiče) nebo jiného zástupce (např. opatrovníka, poručníka), a je-li dítě starší (tady lze orientačně vycházet z věkové hranice 13 let stanovené v návrhu nového zákona o zpracování osobních údajů), zároveň i souhlas tohoto dítěte, aby byla dostatečně ošetřena i jeho práva a zájmy coby dotčeného subjektu údajů.

„Anonymní“ služby

Problematickou a otevřenou otázkou zůstává udělování souhlasu zákonného zástupce dítěte u služeb, které jsou poskytovány dítěti „anonymně“, neboť je nežádoucí, aby se o poskytování služby rodič dítěte vůbec dozvěděl. Zde je vhodné zvážit, zda zpracování osobních údajů vyžadující souhlas vůbec provádět, anebo získat souhlas pouze od dítěte za podmínky, že dítě je schopno chápat závažnost a důsledky svého jednání a udělit svůj souhlas svobodně a se vší vážností. Nicméně i zde platí, že poskytovatel takové služby bude zpravidla oprávněn zpracovávat osobní údaje dítěte na základě jiného právního titulu, než je souhlas.