Επιβεβαίωση ηλικίας των χρηστών για την προστασία των παιδιών (ΕΣΠΔ Δήλωση 1/2025)

Νέα Δήλωση (Statement 1/2025) εξέδωσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) με αντικείμενο την προστασία δεδομένων στο πλαίσιο του Age Assurance, της διασφάλισης της ηλικίας των χρηστών με σκοπό την προστασία των ανηλίκων. Όπως διευκρινίζεται, η διασφάλιση αυτή επιτυγχάνεται με τρεις διαφορετικούς τρόπους: την εκτίμηση ή την επιβεβαίωση της ηλικίας από τον πάροχο και τη δήλωση αυτής από τον ίδιο τον χρήστη.

Το ΕΣΠΔ καταρχήν παρατηρεί πως το ενωσιακό ρυθμιστικό πλαίσιο θέτει απαιτήσεις για την αυξημένη προστασία των παιδιών στο ψηφιακό περιβάλλον. Για παράδειγμα, η Οδηγία 2018/1808 για τις υπηρεσίες οπτικοακουστικών μέσων επισημαίνει (άρθρα 6α και 28) την δυνατότητα εφαρμογής μέτρων για την επιβεβαίωση της ηλικίας, ενώ και ο Γενικός Κανονισμός Προστασίας Δεδομένων θέτει (άρθρο 8) τα ελάχιστα ηλικιακά όρια για τη λήψη συγκατάθεσης στο πλαίσιο υπηρεσιών της κοινωνίας της πληροφορίας. Αντίστοιχα, η Πράξη για τις Ψηφιακές Υπηρεσίες αναφέρει (άρθρο 35 παρ.1) την επαλήθευση της ηλικίας ως μέτρο για τον περιορισμό των κινδύνων, ενώ δεν λείπουν και νομοθετικές ρυθμίσεις των κρατών μελών για τον καθορισμό των ηλικιακών ορίων για την πρόσβαση των παιδιών σε αγαθά και υπηρεσίες.

Διαβάστε επίσης: Προστασία των παιδιών από δυσμενείς συνέπειες των αλγόριθμων στα social media

Κατά συνέπεια, η επιβεβαίωση της ηλικίας των χρηστών είναι κρίσιμη και πολλές φορές αναγκαία στο πλαίσιο παροχής υπηρεσιών σε ψηφιακό περιβάλλον, παράλληλα όμως εγκυμονεί και πολλαπλούς κινδύνους για την προστασία δεδομένων των χρηστών αυτών. Όπως χαρακτηριστικά επισημαίνει το ΕΣΠΔ, η υπέρβαση των ορίων της προστασίας δεδομένων δεν επηρεάζει μόνο το δικαίωμα των προσώπων στην προστασία των προσωπικών τους δεδομένων, αλλά διαχέεται και προκαλεί ζημία σε πολλαπλά δικαιώματα και ελευθερίες των προσώπων αυτών: το δικαίωμά τους να μην υφίστανται διακρίσεις, το δικαίωμα στην ανθρώπινη αξιοπρέπεια και το δικαίωμα στην ελευθερία έκφρασης και πληροφόρησης.

Στο σημείο αυτό εντοπίζεται και η ανάγκη παρέμβασης του ΕΣΠΔ, σύμφωνα και με τον ρόλο που του έχει αναθέσει ο ενωσιακός νομοθέτης. Το Συμβούλιο εκτιμά πως είναι σημαντικό να παράσχει ειδική καθοδήγηση και να θέσει τα κρίσιμα ζητήματα που πηγάζουν από τις διατάξεις του ΓΚΠΔ και θα πρέπει να λαμβάνονται υπόψιν κατά την επεξεργασία δεδομένων στο πλαίσιο του age assurance.

Πρώτο και κύριο από τα ζητήματα αυτά είναι η βάσει κινδύνου (risk-based assessment) αξιολόγηση της αναλογικότητας των μέτρων που υιοθετούνται για την εκπλήρωση του age assurance.

Οι πάροχοι υπηρεσιών πρέπει να λαμβάνουν υπόψιν τους την ανάγκη σεβασμού στα δικαιώματα και τις ελευθερίες των χρηστών τους και να σταθμίζουν τα δικαιώματα αυτά έναντι της ανάγκης λήψης μέτρων για την προστασία των ανηλίκων. Τα μέτρα αυτά θα πρέπει να είναι τα ηπιότερα από όσα έχει στη διάθεσή του ο πάροχος, χωρίς όμως να χάνουν την αποτελεσματικότητά τους. Σε πολλές περιπτώσεις, η στάθμιση αυτή θα πρέπει να γίνει μέσα από την εκπόνηση Μελέτης Εκτίμησης Αντικτύπου (DPIA), η οποία θα πρέπει να διενεργείται πριν την έναρξη της επεξεργασίας. Μέσα από τη DPIA αυτή, ο κάθε πάροχος – υπεύθυνος επεξεργασίας θα μπορεί να αξιολογεί την αναγκαιότητα και αναλογικότητα των πράξεων επεξεργασίας δεδομένων που σχεδιάζει να κάνει για την επιβεβαίωση ηλικίας των χρηστών του, να αναγνωρίζει τους κινδύνους από την επεξεργασία αυτή και να προβλέπει μέτρα για τον περιορισμό των κινδύνων αυτών.

Διαβάστε επίσης: Η Πράξη για τις ψηφιακές υπηρεσίες (DSA) και η προστασία ανηλίκων στο διαδίκτυο

Δεύτερο ζήτημα είναι η αποφυγή υιοθέτησης πρακτικών που γεννούν πρόσθετους κινδύνους για την προστασία δεδομένων, χωρίς αυτές να αποσκοπούν αμιγώς στο age assurance. Το ΕΣΠΔ υπενθυμίζει την υποχρέωση του άρθρου 25 ΓΚΠΔ για προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού, αλλά και τη θεμελιώδη αρχή της θεμιτής επεξεργασίας του άρθρου 5 παρ.1α’ ΓΚΠΔ και τονίζει πως δεν είναι όλα τα δεδομένα κατάλληλα και συναφή για την επίτευξη του εξεταζόμενου σκοπού.

Οι χρήστες, στο πλαίσιο αυτό, δεν πρέπει να γίνονται αντικείμενο παρακολούθησης, εντοπισμού, ταυτοποίησης ή profiling, ενώ οι πάροχοι δεν πρέπει να συλλέγουν προσωπικά δεδομένα, με πρόσχημα την επιβεβαίωση της ηλικίας, προκειμένου να επιτυγχάνουν άλλους σκοπούς.

Άλλα ζητήματα που τίθενται είναι ο περιορισμός του σκοπού και η ελαχιστοποίηση των δεδομένων εν όψει του σκοπού αυτού, η νομιμότητα και η διαφάνεια της επεξεργασίας των δεδομένων, οι προϋποθέσεις για τη λήψη αυτοματοποιημένων αποφάσεων, η ασφάλεια των δεδομένων και η λογοδοσία.

Η προστασία των παιδιών στο διαδίκτυο και η προστασία των προσωπικών δεδομένων των χρηστών δεν είναι σκοποί ασύμβατοι μεταξύ τους, διαπιστώνει το ΕΣΠΔ. Η προστασία δεδομένων δεν είναι λόγος για να αφήνονται έκθετα τα παιδιά σε ακατάλληλο περιεχόμενο και πάσης φύσεως κινδύνους. Αντίστροφα, η ανάγκη προστασίας των παιδιών δεν είναι λόγος για την μη αναγκαία επεξεργασία δεδομένων όλων των χρηστών και την κατ’ επέκταση καταπάτηση θεμελιωδών δικαιωμάτων και ελευθεριών τους.

Η Δήλωση 1/2025 ΕΣΠΔ είναι διαθέσιμη στα αγγλικά εδώ.