Compliance s požadavky ÚOOÚ na souhlas se zpracováním osobních údajů nezletilých:

Provozujete online platformu, e-shop nebo aplikaci a nejste si jisti, jak správně nakládat s osobními údaji dětí a teenagerů? Tento článek vám poskytne jasné odpovědi. Dozvíte se, jaká je věková hranice pro souhlas se zpracováním osobních údajů v ČR, jaké metody pro ověření věku ÚOOÚ akceptuje a jaká rizika a milionové pokuty hrozí při pochybení. Zjistěte, jak ochránit své podnikání a získat jistotu.

Autor článku: ARROWS advokátní kancelář (Mgr. Jáchym Petřík, office@arws.cz, +420 245 007 740)

Děti v digitálním světě: Proč je jejich ochrana pro vaši firmu klíčová?

V digitální ekonomice 21. století představují děti a dospívající nejen významnou, ale i stále rostoucí skupinu uživatelů. Jejich přítomnost na online platformách, sociálních sítích a v e-shopech je realitou, kterou žádná moderní firma nemůže ignorovat. Ochrana osobních údajů této zranitelné skupiny se tak stává nejen zákonnou povinností, ale i základním kamenem firemní etiky a reputace. 

Mnoho společností se mylně domnívá, že pokud jejich služby nejsou primárně zaměřeny na děti, přísná pravidla ochrany jejich údajů se jich netýkají. To je však nebezpečný omyl. Klíčovým kritériem, které zavádí moderní legislativa jako britský Dětský kodex (Age Appropriate Design Code) nebo Akt EU o digitálních službách (DSA), je, zda je služba „pravděpodobně přístupná“ nezletilým.

Tento standard dramaticky rozšiřuje okruh firem, které musí problematiku aktivně řešit. Týká se to nejen her a sociálních sítí, ale i zpravodajských portálů s diskuzními fóry, e-shopů s obecným zbožím nebo dokonce B2B nástrojů, které mohou studenti využívat pro školní projekty. Rozsah povinností je tedy mnohem širší, než se na první pohled zdá.

Obecné nařízení o ochraně osobních údajů (GDPR)  výslovně uvádí, že děti si zasluhují zvláštní ochranu, protože si mohou být méně vědomy rizik, důsledků a svých práv v souvislosti se zpracováním osobních údajů. Jejich psychologická zranitelnost je činí náchylnějšími k manipulativním designovým prvkům, známým jako „dark patterns“, které je mohou navádět k poskytnutí více údajů, než je nutné, nebo k volbě méně soukromých nastavení. Dlouhodobé dopady nadměrného sběru dat a online interakcí na jejich vývoj, včetně rizika závislostí či snížené empatie, jsou předmětem vážných obav psychologů i regulátorů.

Základním právním principem, který z této situace vyplývá, je zákonnost zpracování. Pro mnoho online služeb, zejména těch, které zahrnují marketing, personalizaci nebo komunitní funkce, je jediným platným právním základem pro zpracování osobních údajů souhlas subjektu údajů. Právě zde však nastává pro firmy zásadní komplikace: schopnost dítěte udělit právně platný souhlas je zákonem omezena. Nezákonně získaný souhlas znamená, že veškeré následné zpracování údajů je protiprávní, a to se všemi z toho plynoucími důsledky.

Zatímco astronomické pokuty přitahují největší pozornost médií, reputační škody mohou být pro firmu ještě ničivější. Být veřejně označen za společnost, která zanedbává ochranu dětí, může vést ke ztrátě důvěry zákazníků, odlivu investorů a problémům při náboru talentovaných zaměstnanců. 

V dnešní době, kdy je kladen stále větší důraz na společenskou odpovědnost firem, se ochrana dat nejzranitelnějších uživatelů stává klíčovým ukazatelem firemní kultury a integrity. Právníci z ARROWS pomáhají firmám nejen s orientací v komplexní legislativě, ale i s pochopením těchto širších obchodních a reputačních rizik, a s nastavením procesů, které chrání jak uživatele, tak samotnou firmu.

Věk digitální dospělosti: Klíčové paragrafy, které musíte znát

Pro každého provozovatele online služeb je naprosto zásadní znát přesnou věkovou hranici, od které může nezletilý uživatel samostatně a právně platně udělit souhlas se zpracováním svých osobních údajů. Právě v tomto bodě se střetává obecná evropská úprava s národní legislativou, což vytváří jednu z nejčastějších pastí pro mezinárodní i domácí společnosti. Přesná znalost lokálních pravidel je základem pro jakýkoliv compliance program.

Jádrem evropské úpravy je článek 8 GDPR. Ten stanovuje, že pokud je zpracování osobních údajů založeno na souhlasu v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je takové zpracování zákonné, je-li dítě ve věku nejméně 16 let. Toto je výchozí pravidlo platné v celé Evropské unii. Nařízení však zároveň dává členským státům možnost tuto hranici snížit, avšak ne níže než na 13 let.

Česká republika této možnosti využila a stanovila si vlastní, specifickou věkovou hranici. Klíčovým ustanovením je zde § 7 zákona č. 110/2019 Sb., o zpracování osobních údajů, který říká: „Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku.“.

Pro všechny společnosti působící na českém trhu je tedy závazná hranice 15 let. Aplikace obecné 16leté hranice z GDPR je na území ČR nesprávná a vede k nezákonnému zpracování údajů u patnáctiletých uživatelů.

Je důležité si prakticky vymezit, co se rozumí „službami informační společnosti“. Tento pojem pokrývá širokou škálu online aktivit, které jsou obvykle poskytovány za úplatu nebo obsahují komerční sdělení. Jedná se typicky o sociální sítě, platformy pro sdílení obsahu, online hry, e-shopy, streamovací služby, mobilní aplikace s personalizovaným obsahem nebo zasílání marketingových newsletterů. Pravidlo o věkové hranici se uplatní vždy, když je právním základem pro zpracování souhlas.

Naopak, pokud je zpracování nezbytné pro splnění smlouvy (například jednorázový nákup v e-shopu bez následného marketingu), souhlas se nevyžaduje a tato specifická pravidla se neuplatní.

Právní důsledek je jednoznačný: pokud je dítěti méně než 15 let, jeho samostatný souhlas je neplatný. Aby bylo zpracování jeho osobních údajů zákonné, musí být souhlas udělen nebo schválen osobou, která vykonává rodičovskou odpovědnost (typicky rodič nebo zákonný zástupce).

Tato hranice 15 let nebyla stanovena náhodně. Odráží snahu českého zákonodárce sladit „digitální dospělost“ s dalšími významnými právními milníky v životě dospívajícího, jako je například nabytí částečné svéprávnosti a trestní odpovědnosti. Nejde tedy o svévolné číslo, ale o promyšlenou volbu reflektující český právní a společenský kontext, což dokládá i dřívější diskuse o této hranici.

Kromě samotné věkové hranice je však třeba brát v úvahu i širší princip českého občanského práva, kterým je „rozumová vyspělost“ dítěte. I když patnáctiletý uživatel již může souhlas udělit sám, musí být tento souhlas stále informovaný a svobodný. To znamená, že informace o zpracování údajů musí být podány jazykem, který je pro dospívajícího srozumitelný, a proces udělení souhlasu nesmí být manipulativní. 

Tento princip rezonuje s důrazem Evropského sboru pro ochranu osobních údajů (EDPB) na transparentnost a zákaz klamavých praktik. 

ARROWS proto klientům radí nejen jak splnit formální věkovou hranici, ale také jak nastavit celý proces získávání souhlasu tak, aby byl právně obhajitelný i z hlediska jeho kvality.

Nevíte si s daným tématem rady?

Jak ověřit věk a získat souhlas rodičů? Praktický průvodce pro vaši platformu

Jednou z největších praktických výzev, které GDPR před provozovatele online platforem staví, je povinnost vynaložit „přiměřené úsilí“ k ověření věku uživatele a případně i platnosti rodičovského souhlasu. Zákon záměrně nestanovuje jednu konkrétní metodu, protože uznává, že co je „přiměřené“, se liší v závislosti na povaze služby a rizicích spojených se zpracováním dat. Klíčem k úspěšné a obhajitelné implementaci je proto zvolit přístup založený na posouzení rizika.

Neexistuje univerzální řešení. Správná metoda ověření věku se odvíjí od toho, jaká data zpracováváte a co s nimi děláte. Tento rizikově orientovaný přístup lze rozdělit do několika úrovní:

Nízké riziko:

Pro služby, které nepředstavují významné riziko pro práva a svobody dětí – například obsahové weby bez registrace, blogy bez interaktivních prvků nebo fóra s minimálním sběrem dat – může být dostatečným opatřením jednoduchá, neutrální věková brána (tzv. age-gate). Uživatel je při vstupu požádán, aby zadal své datum narození. 

Je však nutné si uvědomit, že tento mechanismus je velmi snadno obejitelný a Evropský sbor pro ochranu osobních údajů (EDPB) vyjádřil značnou skepsi k jeho použití v jakýchkoli jiných než nízkorizikových scénářích.

Střední riziko:

Sem spadají běžné e-shopy, sociální sítě s omezenými funkcemi nebo online komunity. Zde již prostá deklarace věku nestačí. Je třeba sáhnout po robustnějších metodách, které zvyšují pravděpodobnost, že souhlas dává dospělá osoba. 

Mezi takové metody patří například zaslání ověřovacího e-mailu nebo zprávy na telefonní číslo rodiče, provedení mikropoplatku platební kartou (který je následně vrácen), jelikož se předpokládá, že dítě vlastní kartou nedisponuje, nebo využití služeb třetích stran, jako je mojeID nebo bankovní identita.

Vysoké riziko:

Pokud vaše platforma zpracovává citlivé údaje, provádí rozsáhlé profilování pro účely reklamy, umožňuje volnou interakci mezi uživateli nebo poskytuje obsah nevhodný pro děti (např. hazardní hry, prodej alkoholu, seznamky), jsou požadavky na ověření věku nejvyšší. Zde je nutné nasadit spolehlivé a obtížně zfalšovatelné metody. Může se jednat o ověření pomocí platného úředního dokladu (občanský průkaz, pas), kdy uživatel nahraje fotografii dokladu, nebo o využití biometrické analýzy obličeje, která na základě selfie odhadne věk uživatele. 

Tyto metody jsou sice nejpřesnější, ale zároveň s sebou nesou další právní komplikace, zejména v souvislosti se zpracováním zvláštních kategorií osobních údajů.

Při výběru metody se firmy potýkají s tzv. paradoxem minimalizace údajů. Nejspolehlivější metody ověření (skenování dokladů, biometrie) vyžadují sběr nejcitlivějších osobních údajů, což může být v přímém rozporu se zásadou GDPR shromažďovat pouze data nezbytně nutná pro daný účel.

Volba správného mechanismu je tedy vždy o nalezení rovnováhy mezi robustností ověření a ochranou soukromí uživatelů.

V tomto kontextu je důležité sledovat i technologický vývoj. ARROWS jako moderní kancelář sleduje i nastupující trendy, jako jsou technologie s nulovým prozrazením informací (zero-knowledge proofs, ZKPs) nebo evropský projekt digitální identity (eID). Tyto systémy umožní v budoucnu potvrdit skutečnost (např. „osoba je starší 15 let“) bez nutnosti odhalit samotný údaj (přesné datum narození) nebo identitu osoby, čímž elegantně řeší zmíněný paradox.

V případě kontroly ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ) nebude klíčovou otázkou, zda nějaký systém ověření máte, ale zda jste schopni zdůvodnit, proč jste si vybrali právě ten daný systém. Zásadním důkazním materiálem se tak stává dokumentace vašeho rozhodovacího procesu, zejména posouzení vlivu na ochranu osobních údajů (DPIA). 

Firma, která pro vysoce rizikovou službu použila jen jednoduchou věkovou bránu, svou volbu neobhájí. Právní práce spojená s analýzou rizik a zdokumentováním rozhodnutí je tedy stejně důležitá jako technická implementace.

ARROWS neposkytuje jen právní posudky, ale aktivně spolupracuje s vašimi IT a produktovými týmy na návrhu a implementaci řešení, která jsou v souladu s principem "compliance-by-design". Pomůžeme vám provést posouzení vlivu na ochranu osobních údajů (DPIA) a vybrat metodu ověření, která je pro váš byznys model přiměřená, technicky realizovatelná a především právně obhajitelná.

Obraťte se na naše odborníky:

Působíte v zahraničí? Pozor na odlišné věkové hranice v EU

Pro společnosti, jejichž ambice přesahují hranice České republiky, přináší problematika souhlasu nezletilých další, podstatně složitější rozměr. Flexibilita, kterou GDPR poskytlo členským státům v článku 8, vedla k vytvoření nejednotné a roztříštěné právní mapy napříč Evropskou unií. Co je legální v jedné zemi, může být protiprávní v druhé. Provozovat jednotnou celoevropskou platformu bez zohlednění těchto národních odchylek je receptem na vážné právní problémy.

Zatímco Česká republika si stanovila věkovou hranici na 15 let, situace u našich sousedů a klíčových obchodních partnerů je odlišná. Tato fragmentace vyžaduje od firem nejen právní znalosti, ale i pokročilé technické schopnosti.

Následující tabulka ilustruje, jak výrazně se mohou věkové hranice lišit, a demonstruje tak komplexnost, které čelí každá firma s mezinárodním přesahem:

Země	Věková hranice pro souhlas	Poznámka
Česká republika	15 let	Národní úprava dle Zák. 110/2019 Sb.
Německo	16 let	Výchozí hranice dle GDPR
Rakousko	14 let	Nižší hranice
Polsko	16 let	Výchozí hranice dle GDPR
Slovensko	16 let	Výchozí hranice dle GDPR
Francie	15 let	Stejné jako v ČR
Belgie	13 let	Nejnižší možná hranice
Švédsko	13 let	Nejnižší možná hranice
Irsko	16 let	Výchozí hranice dle GDPR
Španělsko	14 let	Nižší hranice

Obchodní dopad této právní mozaiky je zásadní. Pro jakoukoliv společnost s celoevropskou uživatelskou základnou je jednotný přístup k získávání souhlasu jednoduše v rozporu se zákonem. Vaše platforma musí být technicky schopna identifikovat polohu uživatele a na základě toho dynamicky aplikovat odlišná pravidla. 

To v praxi vyžaduje implementaci spolehlivé geolokační technologie a vývoj flexibilních mechanismů pro zobrazování různých verzí registračních formulářů a souhlasů. Tato právní roztříštěnost se tak přímo promítá do zvýšených nákladů na vývoj, údržbu a celkovou technickou složitost systému.

Tato komplexita je přesně důvod, proč jsme deset let budovali síť ARROWS International. Naši klienti nemusí složitě hledat a koordinovat lokální experty v každé zemi. Díky naší síti zajišťujeme konzistentní a efektivní právní poradenství napříč jurisdikcemi, ať už řešíte spuštění nové služby v Německu, Francii nebo Švédsku. Problematiku s mezinárodním prvkem řešíme prakticky denně.

Situace se dále komplikuje, pokud pro provoz své platformy využíváte služby poskytovatelů se sídlem mimo EU, například ve Spojených státech (což je běžné u cloudových úložišť, analytických nástrojů nebo marketingových platforem). V takovém případě se k problému odlišných věkových hranic přidává i vysoce riziková problematika předávání osobních údajů do třetích zemí. 

Zvláště když se jedná o data nezletilých, je míra ostražitosti a kontroly ze strany evropských dozorových úřadů extrémně vysoká. Příkladem mohou být případy z Německa a Dánska, kde úřady pro ochranu údajů kritizovaly používání nástrojů od společností Google a Microsoft ve školách právě kvůli předávání dat studentů do USA, kde není zaručena stejná úroveň ochrany jako v EU.

Nevíte si s daným tématem rady?

Analýza rizik: Kauza TikTok a co hrozí vaší firmě

Abstraktní právní paragrafy a teoretická rizika často získají reálné obrysy až při pohledu na konkrétní případy z praxe. Nic neilustruje potenciální následky pochybení v oblasti ochrany osobních údajů dětí lépe než kauza společnosti TikTok, která se stala varovným příkladem pro celý digitální průmysl. Pokuta ve výši 345 milionů EUR (přibližně 8,5 miliardy Kč), kterou TikToku v roce 2023 uložila irská Komise pro ochranu údajů (DPC), nebyla jen trestem za jedno pochybení, ale za celý soubor systémových selhání.

Analýza tohoto rozhodnutí poskytuje vhled do toho, na co se dozorové úřady zaměřují a jaké praktiky považují za nejzávažnější porušení GDPR. Pro vaši firmu je to v podstatě manuál, čemu se vyhnout:

1. Veřejné nastavení ve výchozím stavu (Public by Default): Účty dětských uživatelů (ve věku 13-17 let) byly automaticky nastaveny jako veřejné. To znamenalo, že kdokoliv na platformě i mimo ni mohl vidět a komentovat obsah, který tyto děti vytvořily. Jednalo se o flagrantní porušení klíčové zásady GDPR – ochrany soukromí již od návrhu a ve výchozím nastavení (privacy by design and by default), zakotvené v článku 25. Platformy musí veškerá nastavení pro nezletilé ve výchozím stavu konfigurovat na nejvyšší možnou úroveň ochrany soukromí.
2. Nezabezpečená funkce „Rodinné párování“: Tato funkce umožňovala dospělému uživateli propojit svůj účet s účtem dítěte za účelem rodičovské kontroly. Problém byl v tom, že TikTok neověřoval, zda je dospělý skutečně rodičem nebo zákonným zástupcem dítěte. To otevíralo dveře potenciálnímu zneužití a ohrožení dětí. Šlo o selhání v zajištění integrity a důvěrnosti údajů dle článku 5 GDPR.
3. Nedostatečná transparentnost: Informace o zpracování osobních údajů, podmínky použití a nastavení soukromí byly pro dětské uživatele prezentovány způsobem, který nebyl dostatečně jasný, srozumitelný a přizpůsobený jejich věku. Tím byl porušen článek 12 GDPR, který vyžaduje transparentní komunikaci.
4. Použití manipulativních technik („Dark Patterns“): Vyšetřování odhalilo, že design registračního procesu a dalších částí aplikace využíval tzv. „dark patterns“ – klamavé designové prvky, které uživatele jemně, ale účinně „šťouchaly“ (nudging) k volbě méně soukromých a pro firmu výhodnějších variant. Toto manipulativní chování je v přímém rozporu se zásadou spravedlnosti a zákonnosti zpracování dle článku 5 GDPR.

Tato pochybení vedla k obrovské pokutě. Podle článku 83 GDPR spadá porušení pravidel týkajících se souhlasu dětí, zásad zpracování a práv subjektů údajů do kategorie, za kterou lze uložit pokutu až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu společnosti, podle toho, která částka je vyšší. 

Český adaptační zákon sice pro některé přestupky stanovuje nižší národní limity, ale Úřad pro ochranu osobních údajů (ÚOOÚ) má plnou pravomoc ukládat citelné sankce i na českém trhu.

Abychom vám pomohli lépe se zorientovat v konkrétních hrozbách a našich řešeních, připravili jsme následující přehlednou tabulku rizik:

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Zpracování údajů dítěte pod 15 let bez platného souhlasu rodičů: Pokuty od ÚOOÚ až do výše 10 mil. EUR (nebo 2 % obratu), reputační škody, soudní spory o náhradu škody od dotčených osob, nařízení k výmazu dat.	Audit a nastavení procesů pro získávání a správu souhlasů, příprava smluvních podmínek a zásad ochrany soukromí srozumitelných i pro nezletilé.
Nedostatečné ověření věku uživatele ("přiměřené úsilí"): Zpochybnění zákonnosti celého zpracování, nařízení k nápravě, vysoké pokuty za systémové pochybení, zejména u vysoce rizikových služeb.	Konzultace a doporučení vhodných technických a organizačních opatření (age-gating), právní posouzení rizikovosti vašeho byznys modelu.
Nevhodný design platformy (veřejné profily, "dark patterns"): Porušení zásad "privacy by design & default", pokuty za netransparentní a manipulativní praktiky (viz kauza TikTok), negativní mediální pozornost.	Právní revize uživatelského rozhraní (UI/UX), příprava interních směrnic pro vývojáře a produktové manažery, školení týmů.
Nezabezpečení dat a úniky informací o nezletilých: Povinnost hlásit incident ÚOOÚ do 72 hodin, vysoké pokuty, ztráta důvěry klientů a partnerů, hromadné žaloby.	Zastupování v řízení před ÚOOÚ, příprava krizové komunikace, revize a implementace bezpečnostních politik a smluv se zpracovateli.

ARROWS: Váš partner pro bezpečný a úspěšný online byznys

Jak ukázaly předchozí kapitoly, zajištění souladu se zákony při zpracování osobních údajů nezletilých je komplexní a dynamická disciplína. Nejedná se o jednorázový úkol, který lze odškrtnout a zapomenout. Jde o nepřetržitý proces, který vyžaduje hlubokou znalost práva, porozumění technologiím a strategické řízení rizik. V sázce je příliš mnoho na to, aby se tato oblast podceňovala.

Ochrana osobních údajů není jen jedním z mnoha oborů, kterým se věnujeme. Je to klíčová specializace našeho týmu a páteř naší praxe. Naše rozsáhlé zkušenosti hovoří samy za sebe: pomohli jsme úspěšně nastavit a spravovat GDPR compliance pro více než 150 akciových společností, 250 společností s ručením omezeným a 51 obcí a krajů. Tato čísla představují stovky hodin analýz, konzultací a implementací řešení v reálném obchodním prostředí, od malých startupů po velké korporace.

Rozumíme tomu, že každá firma je jedinečná. Proto nenabízíme univerzální šablony, ale řešení na míru, která reflektují váš specifický byznys model, technické možnosti a rizikový profil. Naši experti vám mohou pomoci v každé fázi vaší cesty k plnému souladu:

• Audit a posouzení rizik: Provedeme hloubkovou analýzu vaší platformy a identifikujeme slabá místa a potenciální rizika.
• Příprava a revize dokumentace: Vytvoříme nebo zrevidujeme veškerou potřebnou dokumentaci – od interních směrnic a záznamů o činnostech zpracování, přes smlouvy se zpracovateli, až po srozumitelné a právně neprůstřelné zásady ochrany osobních údajů a podmínky použití.
• Konzultace pro vaše týmy: Poskytneme praktické poradenství vašim produktovým manažerům, vývojářům a marketingovým specialistům, aby principy ochrany soukromí byly integrovány přímo do návrhu vašich služeb.
• Školení zaměstnanců: Proškolíme vaše zaměstnance, aby rozuměli svým povinnostem a věděli, jak správně nakládat s citlivými daty.
• Zastupování v řízeních: V případě kontroly nebo incidentu vás budeme profesionálně zastupovat v komunikaci a řízení před Úřadem pro ochranu osobních údajů.

Podceňování pravidel pro ochranu osobních údajů nezletilých není strategie, ale riziko, které si úspěšná firma nemůže dovolit. Investice do robustního compliance programu je investicí do důvěry vašich zákazníků, stability vašeho podnikání a klidu pro vaši budoucnost.

Kontaktujte nás ještě dnes a domluvte si nezávaznou konzultaci. Zjistíme, jak na tom vaše platforma je, a navrhneme konkrétní kroky k zajištění plného souladu a bezpečí pro vaše podnikání.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.