Ochrona danych osobowych dzieci zgodnie z RODO: główne ryzyka i rekomendacje

13.03.2026

Dane osobowe dzieci należą do jednej z najwrażliwszych kategorii danych przy w procesie ich przetwarzania. Firmy, które przetwarzają takie dane lub mogą je przetwarzać, podlegają wzmożonemu nadzorowi ze strony organów regulacyjnych.

Niedawno brytyjski organ ds. ochrony danych nałożył na spółkę MediaLab.AI, Inc. (MediaLab) – właściciela platformy do udostępniania i publikowania obrazów Imgur – karę w wysokości 247 590 funtów szterlingowych za niewłaściwe przetwarzanie danych osobowych dzieci.

W toku postępowania ustalono, że MediaLab umożliwiała dzieciom korzystanie z Imgur bez stosowania podstawowych środków ochrony wymaganych przez brytyjskie przepisy o ochronie danych.

Spółka naruszyła prawo w następujący sposób:

• nie podjęła żadnych działań w celu weryfikacji wieku użytkowników;
• przetwarzała dane osobowe dzieci poniżej 13. roku życia bez zgody rodziców lub innej podstawy prawnej przy świadczeniu usług online;
• nie przeprowadziła oceny skutków dla ochrony danych (DPIA) w celu identyfikacji i ograniczenia ryzyk dla prywatności dzieci.

Co stanowi RODO?

Zgodnie z RODO przetwarzanie danych osobowych dziecka jest zgodne z prawem, jeżeli dziecko ukończyło 16 lat. W przypadku dzieci poniżej tego wieku przetwarzanie jest dopuszczalne wyłącznie za zgodą rodzica lub innego przedstawiciela ustawowego. Państwa członkowskie UE mogą obniżyć ten próg wiekowy, jednak nie poniżej 13 lat.

W celu ustalenia minimalnego wieku obowiązującego w danej jurysdykcji należy zwrócić się do właściwego krajowego organu ochrony danych.

Jaka odpowiedzialność grozi za naruszenia?

Podstawowym środkiem odpowiedzialności jest administracyjna kara pieniężna. RODO przewiduje kary zróżnicowane w zależności od wagi naruszenia – do 20 000 000 euro albo, w przypadku przedsiębiorstw, do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w zależności od tego, która kwota jest wyższa).

O czym należy pamiętać?

Jeżeli Państwa firma przetwarza dane osobowe dzieci, w celu ograniczenia ryzyka odpowiedzialności zalecamy stosowanie poniższych zasad:

• Zasada 1. Zweryfikuj treść polityki prywatności pod kątem wymaganych informacji.

RODO wymaga, aby polityka prywatności zawierała:

1. dane administratora i podmiotów przetwarzających (adres siedziby, dane kontaktowe);
2. cele przetwarzania danych;
3. kategorie przetwarzanych danych;
4. podstawy prawne przetwarzania;
5. okresy przechowywania danych;
6. informacje o osobach trzecich, którym dane są przekazywane, wraz z celami takiego przekazania;
7. zasady transgranicznego przekazywania danych (jeżeli ma zastosowanie);
8. opis środków technicznych i organizacyjnych stosowanych w celu ochrony danych;
9. prawa osób, których dane dotyczą, oraz sposób ich wykonywania;
10. dane kontaktowe wyznaczonego inspektora ochrony danych (IOD/DPO), w tym służbowy adres e-mail.

• Zasada 2. Dostosuj politykę prywatności do odbiorcy – dziecka.

Jeżeli działalność Państwa firmy jest skierowana do dzieci, wszelkie informacje i komunikaty kierowane do tej grupy powinny być łatwo dostępne i sformułowane językiem zrozumiałym dla dziecka.

Należy zachować prosty i przejrzysty styl, unikając tekstu skomplikowanych konstrukcji prawnych. Warto rozważyć zastosowanie elementów graficznych – na przykład ilustracji w stylu kreskówkowym – które w przystępny sposób wyjaśnią dzieciom, jakie dane są zbierane i w jakim celu.

• Zasada 3. Uzyskaj zgodę rodzica na przetwarzanie danych dziecka.

RODO wymaga uzyskania wyraźnej zgody rodzica lub opiekuna prawnego na przetwarzanie danych osobowych dziecka. W odróżnieniu od amerykańskiej ustawy COPPA zgoda ta nie musi być jednak zweryfikowana w szczególny sposób.

Aby ustalić, czy zgoda rodzica jest wymagana, można już na etapie rejestracji lub wejścia na stronę internetową lub do aplikacji zapytać użytkownika o wiek. Firma powinna przy tym – z uwzględnieniem dostępnych możliwości technicznych – wdrożyć odpowiedne środki weryfikacji wieku, takie jak pytania kontrolne czy dodatkowe kroki potwierdzające w procesie rejestracji.

• Zasada 4. Zapewnij szczególną ochronę danych osobowych dzieci.

Firma jest zobowiązana do zapewnienia bezpieczeństwa danych osobowych wszystkich użytkowników, niezależnie od ich wieku. Dane osobowe dzieci wymagają jednak podwyższonego poziomu ochrony. Warto rozważyć wdrożenie następujących środków ochrony:

• ograniczenie okresu przechowywania danych dzieci do niezbędnego minimum;
• wprowadzenie zakazu lub istotnego ograniczenia przekazywania danych osobowych dzieci podmiotom trzecim;
• wyłączenie lub ograniczenie zbierania danych do celów analitycznych i reklamowych;
• zastosowanie dodatkowych technicznych środków ochrony danych.

Przestrzeganie przepisów dotyczących ochrony danych dzieci leży zarówno w interesie firmy, jak i jej użytkowników. W tym celu zalecamy stosowanie się do powyższych rekomendacji oraz regularne przeprowadzanie audytów procesów przetwarzania danych.

Zespół prawników REVERA jest gotowy udzielić profesjonalnego wsparcia w zakresie RODO i pomóc w zapewnieniu pełnej zgodności Państwa procesów z obowiązującymi przepisami.