A gyermekek jogainak védelme a digitális térben mára már nem csupán egy szűk megfelelőségi kérdés. Az digitális szolgáltatók számára ez ma már alapvető jogi és szervezeti kérdés, amelyet a különböző EU-s jogszabályok hálója szabályoz, Ha egy online platformot gyerekek is elérhetnek, a megfelelés nem áll meg egy adatkezelési tájékoztatónál vagy egy általános felhasználási feltételnél. Ilyenkor a platformnak több, egymásra épülő dokumentumot is el kell készítenie, valamint megfelelő intézkedéseket kell hozni a gyermekek védelme érdekében. Ezek a dokumentumok és intézkedések magában foglalja
- a gyermekek számára is érthető (vagy külön gyermekeknek szóló) adatkezelési tájékoztatót,
- szülői hozzájárulások dokumentációját és a hozzájárulás megszerzésének megfelelő folyamatát,
- a gyermekek jogainak védelmét előtérbe helyező rendszerszintű kockázatértékelést, illetve adatvédelmi hatásvizsgálatot,
- a megfelelő életkor-ellenőrzési mechanizmusokat,
- valamint általánosan, a szolgáltatás működésébe integrálandó elővigyázatossági intézkedéseket.
A kérdés tehát nem az, hogy „van-e egy platformnak adatvédelmi tájékoztatója”, hanem az, hogy a teljes működési logikája össze van-e hangolva a kiskorúak védelmével. Ez különösen fontos olyan szolgáltatásoknál, mint a TikTok, Instagram, YouTube, Roblox, Snapchat, és bármely olyan platform (pl. online játékplatformok, közösségi oldalak, oktatási platformok, fórumok, chatbotok), amelynek vannak kiskorú felhasználói.
DSA (Digital Services Act/ Digitális Szolgáltatásokról szóló Irányelv)
A digitális szolgáltatásokról szóló rendelet 28. cikke kimondja, hogy a kiskorúak számára hozzáférhető online platformoknak megfelelő és arányos intézkedéseket kell bevezetniük a kiskorúak magánéletének, biztonságának és védelmének magas szintű biztosítására. Ez alapján a platform működésének ténylegesen tükröznie kell a kiskorúakra gyakorolt kockázatokat. A cikk továbbá kimondja, hogy profilalapú reklám nem jeleníthető meg olyan felhasználónak, akiről a platform kellő bizonyossággal tudja, hogy kiskorú. A legnagyobb platformoknak ezen felül a 34. cikk szerinti kockázatértékelésben külön vizsgálniuk kell a gyermekek jogait érintő rendszerszintű kockázatokat is.
A gyakorlatban ez azt jelenti, hogy a platformnak nem elég egy életkor-kérdéses belépési kaput vagy egy általános „18+” jelölést használni. A dizájnnak, a tartalommegjelenítésnek, a hirdetési logikának és a moderálási mechanizmusoknak is gyermekvédelmi szempontból védhetőnek kell lenniük.
Megfelelés az adatvédelmi követelményeknek és a GDPR (General Data Protection Regulation / Általános Adatvédelmi Rendelet) szabályainak
A GDPR 8. cikke speciális szabályokat rögzít a gyermekek hozzájárulására. Ha információs társadalommal összefüggő szolgáltatást közvetlenül gyermeknek kínálnak, akkor a személyes adatok kezelése csak meghatározott életkor felett alapulhat önálló hozzájáruláson; az alatt szülői engedély szükséges. A szolgáltatónak emellett ésszerű lépéseket kell tennie annak ellenőrzésére, hogy a hozzájárulás valóban megfelelően történt-e. Ilyen szolgálatás például egy gyermekeknek szóló oktatási app, játékplatform vagy bármilyen online közösségi szolgáltatás.
Ez a rendelkezés különösen fontos minden olyan platformnál, ahol regisztráció, életkor-megadás, profilalkotás, követés vagy célzott tartalomszolgáltatás történik. A gyermekek adatainak kezelésekor a megfelelés nem pusztán formai kérdés: a tájékoztatásnak, az adatkezelés céljának és az alkalmazott technikai megoldásoknak is gyermekbarátnak és arányosnak kell lenniük.
A GDPR 22. cikke tovább szűkíti a szolgáltató lehetőségeit az automatizált döntéshozatal és a profilalkotás terén. Ez azért lényeges, mert az ajánlórendszerek, a viselkedésalapú hirdetések és az automatizált moderálás közvetlenül befolyásolhatják a gyermek viselkedését és fejlődését. Emiatt ezek a gyakorlatok általánosan tiltottak gyermekek esetében, azokat csak nagyon szűk esetben – kizárólag a gyermek érdekében – lehet alkalmazni.
A GDPR alapján adatvédelmi tisztviselő (DPO) kijelölése nem automatikusan kötelező gyermekeknek elérhető platformoknál, hanem csak akkor, ha a GDPR 37. cikke szerinti feltételek fennállnak (pl. nagymértékű, rendszeres megfigyelés). Ennek ellenére az ilyen szolgáltatónak jellemzően szükséges adatvédelmi hatásvizsgálatot készítenie, különösen, ha gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában történik.
Fontos azonban azt is megemlíteni, hogy az adatvédelmi felügyeleti hatóságok, így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) általánosan nagyobb körültekintést várnak el gyermekek személyes adatainak kezelése esetén, ideértve például a gyermekek által – életkorukat, helyzetüket is figyelembe vevő – lehetőség szerint érthető tájékoztatást és a gyermekek érdekeinek fokozott figyelembevételét.
AI Act (Mesterséges Intelligencia Rendelet)
Az AI Act kockázatalapú szemléletet és alapjogi védelmet ír elő az mesterséges intelligencia rendszerekre. Ha egy platform MI-alapú ajánlórendszert, chatbotot, moderálási eszközt vagy életkor-becslést használ, ezek a funkciók külön kockázati megközelítést igényelnek.
A Bizottság 2025-ös, a kiskorúak védelméről szóló iránymutatásai is azt hangsúlyozzák, hogy a platformoknak biztonságosabb alapbeállításokat, hatékony életkor-ellenőrzést és a káros mintázatokat kerülő megoldásokat kell alkalmazniuk. Az AI-funkciók esetében ez különösen fontos, mert a technikai megoldás önmagában is lehet kockázati tényező, ha sérülékeny felhasználói csoportokra hat.
Fogyasztóvédelmi megfelelés
A tisztességtelen kereskedelmi gyakorlatokról szóló irányelv és az azt átültető magyar szabályozás azért lényeges, mert a gyermekek fogyasztóként különösen védendő helyzetben vannak. Az irányelv tiltja, megtévesztő vagy agresszív kereskedelmi gyakorlatokat. Ez a gyakorlatban ez kiterjed a manipulatív felületkialakításra, a sürgető üzenetekre és a gyermekek kiszolgáltatottságát kihasználó marketingre is.
Ez különösen fontos ott, ahol a platform bevételi modellje virtuális valutákra, mikrofizetésekre, jutalmazási mechanizmusokra vagy viselkedésösztönző dizájnra épül. Látható tehát, hogy a gyermekvédelem nem áll meg az adatvédelmi vagy platformszabályozási szinten: a fogyasztóvédelmi szabályok ugyanúgy részei a megfelelésnek.
Rendszerszintű megfelelés
A gyermekek által is elérhető platformoknál a megfelelés valójában három szinten dől el.
Az első a dokumentáció: legyenek világos, külön erre a célcsoportra szabott szabályok és tájékoztatók.
A második a működés: a platform ténylegesen úgy legyen kialakítva, hogy csökkentse a kockázatokat, ne ösztönözze a káros viselkedést, és ne használjon a gyermekeket manipuláló, illetve fejlődésükre, viselkedésükre károsan ható megoldásokat.
A harmadik a szervezeti megfelelés: ahol szükséges, ott legyen DPO, legyen kockázatértékelés, hatásvizsgálat és legyenek belső szabályok arra nézve, hogy ki követi az adatvédelmi, platform- és fogyasztóvédelmi követelményeket, ki felel azok megfelelő alkalmazásáért. Ezt érdemes nem utólagos korrekcióként, hanem a platform teljes jogi és technikai architektúrájának részeként kezelni.
Mikor forduljon hozzánk?
A SimpLEGAL-nél segítünk ezeket a jogszabályi kavalkádból eredő kötelezettségeket egy működőképes üzemeltetési keretrendszerbe fordítani. Ez magában foglalja a gyermekek felé irányuló funkciók felülvizsgálatát, annak megítélését, hogy a jelenlegi beleegyezési és életkor-ellenőrzési gyakorlatok megfelelnek-e a GDPR 8. cikkének, az automatizált döntéshozatal elemzését a GDPR 22. cikke alapján, valamint a platformkockázati felmérések összehangolását a DSA 28. és 34. cikkeivel. Tanácsot adunk továbbá az MI menedzsmentre, tisztességtelen kereskedelmi gyakorlatok kockázataira, belső szabályzatokra és szabályozó és felügyeleti hatóságoknak szóló dokumentációra vonatkozóan is.
Záró gondolat
A gyermekek digitális védelme ma már nem egyetlen jogszabályból áll, hanem több uniós és magyar szabályozási réteg összehangolt alkalmazásából. Aki gyerekek által is elérhető platformot működtet, annak nemcsak adatot kell kezelnie, hanem a fenti kockázatot is menedzselnie kell.
Az illusztráció Google Gemini használatával készült.
