W oświadczeniu dotyczącym poświadczania wieku EROD przedstawiła dziesięć zasad przetwarzania danych osobowych w kontekście ustalania wieku lub przedziału wiekowego osoby fizycznej. Celem tego dokumentu jest zapewnienie spójnego europejskiego podejścia do weryfikacji wieku, które chroni małoletnich przy jednoczesnym poszanowaniu zasad ochrony danych.

Przewodnicząca EROD, Anu Talus, podkreśliła: "Poświadczanie wieku jest kluczowe, aby dzieci nie miały dostępu do treści nieodpowiednich dla ich wieku. Jednocześnie metoda weryfikacji wieku musi być jak najmniej inwazyjna, a dane osobowe dzieci muszą być chronione. Zasady przedstawione przez EROD pomogą branży ocenić wiek osoby w sposób zgodny z zasadami ochrony danych, chroniąc jednocześnie dobro dzieci."

EROD współpracuje również z Komisją Europejską w zakresie weryfikacji wieku w ramach grupy roboczej ds. Aktu o Usługach Cyfrowych (DSA).

Podczas posiedzenia Rada postanowiła rozszerzyć zakres działania istniejącej grupy zadaniowej ChatGPT, obejmując nim egzekwowanie przepisów dotyczących AI. Członkowie EROD zwrócili uwagę na potrzebę koordynacji działań organów ochrony danych w pilnych i wrażliwych sprawach, w związku z czym planowane jest utworzenie zespołu szybkiego reagowania.

Przewodnicząca Talus dodała: "RODO stanowi ramy prawne promujące odpowiedzialne innowacje. Zostało zaprojektowane tak, aby utrzymać wysokie standardy ochrony danych, jednocześnie w pełni wykorzystując potencjał innowacji, takich jak sztuczna inteligencja, z korzyścią dla naszej gospodarki. Grupa zadaniowa EROD ds. egzekwowania przepisów dotyczących AI oraz przyszły zespół szybkiego reagowania odegrają kluczową rolę w zapewnieniu tej równowagi, koordynując działania organów ochrony danych i wspierając je w poruszaniu się po złożoności AI przy jednoczesnym przestrzeganiu solidnych zasad ochrony danych."

Oświadczenia 1/2025 Europejskiej Rady Ochrony Danych (EROD) w sprawie poświadczania wieku

1. Cel i kontekst dokumentu

EROD podkreśla konieczność ochrony dzieci w środowisku cyfrowym oraz potrzebę jednolitych regulacji w zakresie poświadczania wieku. Dokument definiuje „poświadczanie wieku” jako zbiór metod służących do określania wieku lub przedziału wiekowego danej osoby. Kluczowe akty prawne, takie jak RODO (GDPR), Dyrektywa o usługach audiowizualnych i Akt o usługach cyfrowych (DSA), podkreślają znaczenie weryfikacji wieku jako środka ograniczającego ryzyko związane z dostępem dzieci do nieodpowiednich treści.

2. Dziesięć zasad zgodnego z RODO poświadczania wieku

1. Pełne poszanowanie praw i wolności – Weryfikacja wieku musi uwzględniać wszystkie podstawowe prawa, w tym prawo do ochrony danych, prywatności, wolności wypowiedzi oraz ochrony przed dyskryminacją.
2. Ocena ryzyka i proporcjonalności – Usługodawcy muszą stosować podejście oparte na ryzyku, dostosowując poziom zabezpieczeń do potencjalnych zagrożeń dla dzieci. Wysokie ryzyko wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA).
3. Minimalizacja ryzyka naruszenia ochrony danych – Metody weryfikacji wieku nie mogą prowadzić do dodatkowej identyfikacji, profilowania ani śledzenia użytkowników.
4. Ograniczenie celu i minimalizacja danych – Przetwarzanie danych w ramach weryfikacji wieku powinno obejmować tylko te informacje, które są ściśle niezbędne do osiągnięcia określonego celu. Nie można ich wykorzystywać do innych celów.
5. Skuteczność metod weryfikacji – Stosowane techniki powinny być dostępne, wiarygodne i odporne na oszustwa. Muszą skutecznie spełniać swoje zadanie bez nadmiernej ingerencji w prywatność użytkowników.
6. Zgodność z zasadami legalności, rzetelności i przejrzystości – Usługodawcy muszą jasno informować użytkowników o metodach, danych oraz podmiotach zaangażowanych w proces weryfikacji wieku.
7. Ograniczenie automatycznego podejmowania decyzji – Jeśli weryfikacja wieku opiera się na automatycznym podejmowaniu decyzji, użytkownicy powinni mieć dostęp do mechanizmów odwoławczych, zwłaszcza jeśli decyzja wpływa na ich prawa.
8. Zasada „privacy by design and by default” – Systemy weryfikacji wieku powinny być projektowane w sposób domyślnie chroniący prywatność użytkowników, np. poprzez ograniczenie przetwarzania danych do minimum.
9. Bezpieczeństwo procesów weryfikacyjnych – Usługodawcy i ich dostawcy muszą wdrożyć techniczne i organizacyjne środki zapewniające ochronę przetwarzanych danych, w tym szyfrowanie, anonimizację i minimalizację przechowywania.
10. Odpowiedzialność i rozliczalność – Operatorzy usług muszą być w stanie wykazać zgodność stosowanych metod weryfikacji wieku z RODO oraz zapewnić ich audytowalność i przejrzystość.

3. Wnioski i dalsze kroki

EROD podkreśla konieczność dalszych działań na poziomie krajowym i unijnym w celu opracowania spójnych, skutecznych i zgodnych z prawem metod poświadczania wieku. Dokument wskazuje również na możliwość wydania dodatkowych wytycznych dotyczących konkretnych przypadków użycia.