Bảo vệ kỹ thuật số trẻ em: Sharenting và quyền được xóa dữ liệu

Trong kỷ nguyên mạng xã hội, phụ huynh thường xuyên chia sẻ nội dung về con cái – ảnh, video, câu chuyện cá nhân – thường không cân nhắc đến hậu quả pháp lý. Đánh giá pháp lý về hiện tượng “sharenting” (share + parenting) đã phát triển đáng kể trong những năm gần đây. Dưới đây, chúng tôi trình bày khung pháp lý Hungary và EU hiện hành, từ quyền nhân thân qua các quy định bảo vệ dữ liệu đến việc xử lý dữ liệu giáo dục.

Các văn bản pháp luật áp dụng

• Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu (GDPR) – đặc biệt Điều 6, 8, 17 và 22
• Luật số V năm 2013 – Bộ luật Dân sự (Ptk.) – quyền nhân thân (Điều 2:42–2:54), quyền giám hộ của cha mẹ (Điều 4:152–4:182), tài sản của trẻ (Điều 4:159)
• Luật số CXII năm 2011 – về quyền tự quyết thông tin và tự do thông tin (Infotv.)
• Luật số XXXI năm 1997 – về bảo vệ trẻ em và quản lý giám hộ (Gyvt.)
• Luật số CXC năm 2011 – về giáo dục công quốc gia (Nkt.)
• Công ước Liên Hợp Quốc về Quyền Trẻ em (công bố bằng Luật số LXIV năm 1991) – Điều 16: quyền riêng tư của trẻ em

Trẻ em là chủ thể pháp lý độc lập

Trẻ em không phải tài sản của cha mẹ – đây là nguyên tắc cơ bản của Bộ luật Dân sự và Luật Bảo vệ Trẻ em. Từ khi sinh ra, trẻ em là chủ thể pháp lý độc lập với các quyền nhân thân theo Điều 2:42 Ptk. được áp dụng đầy đủ trong không gian kỹ thuật số. Bao gồm đặc biệt:

• Quyền nhân phẩm (Ptk. Điều 2:42 khoản 2)
• Quyền hình ảnh và bản ghi âm (Ptk. Điều 2:48)
• Quyền đời tư (Ptk. Điều 2:43 điểm b)
• Quyền bảo vệ dữ liệu cá nhân (Ptk. Điều 2:43 điểm e, GDPR Điều 8)

Cha mẹ với tư cách đại diện theo pháp luật có nghĩa vụ hành động vì lợi ích của trẻ (Ptk. Điều 4:152 khoản 2, Gyvt. Điều 2), không phải vì hoạt động mạng xã hội của chính họ.

Sharenting – Khi nào trở thành vi phạm pháp luật?

Tiêu chí vi phạm

“Sharenting” – nội dung do cha mẹ đăng tải về trẻ em trên mạng xã hội – không tự động vi phạm pháp luật, nhưng trở thành vi phạm khi:

1. Nội dung xâm phạm nhân phẩm của trẻ (Ptk. Điều 2:42 khoản 2) – ví dụ: hình ảnh gây nhục, riêng tư hoặc đặt trẻ trong bối cảnh tiêu cực
2. Việc đăng tải diễn ra mà không có sự đồng ý của trẻ, nếu năng lực phán đoán của trẻ cho phép điều đó (Ptk. Điều 2:14 khoản 2 – người chưa thành niên có năng lực hành vi hạn chế tự quyết định về quyền nhân thân)
3. Nội dung có thể ảnh hưởng bất lợi đến sự phát triển, danh tiếng xã hội hoặc cơ hội của trẻ sau này

Ý nghĩa của ngưỡng tuổi 14

Theo Điều 2:14 khoản 2 Bộ luật Dân sự, người chưa thành niên có năng lực hành vi hạn chế (14–18 tuổi) tự quyết định về quyền nhân thân của mình. Điều này có nghĩa:

• Đối với các nội dung đăng tải ảnh hưởng đến quyền nhân thân của trẻ trên 14 tuổi, cần có sự đồng ý của chính trẻ – cha mẹ không thể cho phép “thay” trẻ
• Đối với trẻ dưới 14 tuổi, cha mẹ hành động với tư cách đại diện theo pháp luật nhưng phải quyết định vì lợi ích của trẻ, không phải vì lợi ích của bản thân

Thực hiện quyền yêu cầu

Khi sharenting cấu thành vi phạm pháp luật, trẻ em – với sự hỗ trợ của cơ quan giám hộ (Gyvt. Điều 17) hoặc thông qua việc chỉ định người giám hộ đặc biệt (Ptk. Điều 2:51 khoản 3) nếu cần – có thể thực hiện các yêu cầu sau:

• Xác định vi phạm (Ptk. Điều 2:51 khoản 1 điểm a)
• Chấm dứt và cấm vi phạm (Ptk. Điều 2:51 khoản 1 điểm b)
• Bồi thường thỏa đáng – công khai hoặc riêng tư (Ptk. Điều 2:51 khoản 1 điểm c)
• Khắc phục tình trạng vi phạm – xóa nội dung (Ptk. Điều 2:51 khoản 1 điểm d)
• Bồi thường thiệt hại phi vật chất (sérelemdíj) (Ptk. Điều 2:52) – do tòa án xác định căn cứ vào mức độ nghiêm trọng, tính lặp lại và lỗi của vi phạm

Khoản bồi thường được tuyên là tài sản riêng của trẻ (Ptk. Điều 4:159 khoản 1), mà cha mẹ phải quản lý vì lợi ích của trẻ.

Bảo vệ dữ liệu – Quy định GDPR về trẻ em

Vấn đề đồng ý (GDPR Điều 8)

GDPR Điều 8 thiết lập quy tắc đặc biệt về sự đồng ý của trẻ em liên quan đến dịch vụ xã hội thông tin:

• Nguyên tắc chung: trẻ em có thể đưa ra sự đồng ý hợp lệ từ 16 tuổi (Hungary không hạ thấp ngưỡng tuổi này theo Infotv.)
• Đối với trẻ dưới 16, sự đồng ý phải được cha mẹ hoặc đại diện theo pháp luật khác cung cấp hoặc phê duyệt

Quan trọng: GDPR Điều 8 chỉ áp dụng cho dịch vụ xã hội thông tin (như tài khoản mạng xã hội, ứng dụng). Nội dung do cha mẹ đăng tải trên tài khoản cá nhân của họ được đánh giá theo khung quyền nhân thân (Ptk.), không trực tiếp theo quy tắc đồng ý GDPR.

Quyền xóa dữ liệu (GDPR Điều 17)

GDPR Điều 17 khoản 1 điểm f quy định rõ ràng: chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu cá nhân khi dữ liệu đã được thu thập khi còn là trẻ em liên quan đến dịch vụ xã hội thông tin.

Quy định này:

• Không tạo ra quyền xóa tuyệt đối đối với tất cả dữ liệu trường học hoặc dữ liệu khác – chỉ áp dụng cho dịch vụ xã hội thông tin (Điều 8)
• Không tự động mở rộng đến dữ liệu được xử lý trong quản lý trường học – thời hạn lưu giữ dữ liệu đó được quy định bởi Nkt. và các nghị định thi hành
• Tuy nhiên, cung cấp cơ sở pháp lý hiệu quả để xóa nội dung đăng trên mạng xã hội – sau khi đủ tuổi thành niên, có thể yêu cầu xóa dữ liệu đã xử lý trên cơ sở đồng ý của cha mẹ

Vai trò của NAIH

Cơ quan Bảo vệ Dữ liệu và Tự do Thông tin Quốc gia (NAIH) – với tư cách cơ quan giám sát theo GDPR – cũng xử lý các vụ việc liên quan đến bảo vệ dữ liệu trẻ em. Có thể nộp đơn khiếu nại lên NAIH khi:

• Nhà cung cấp dịch vụ trực tuyến xử lý dữ liệu trẻ em trái pháp luật
• Cơ sở giáo dục vi phạm nghĩa vụ bảo vệ dữ liệu
• Bên kiểm soát dữ liệu không tuân thủ yêu cầu xóa

Xử lý dữ liệu kỹ thuật số trong giáo dục

Hệ thống quản lý trường học

Hệ thống quản lý trường học (ví dụ: KRÉTA) xử lý nhiều dữ liệu cá nhân của trẻ em: kết quả học tập, vắng mặt, đánh giá hạnh kiểm và chuyên cần. Nkt. và GDPR cùng áp dụng cho việc xử lý các dữ liệu này.

Hạn chế ra quyết định tự động và lập hồ sơ

GDPR Điều 22 hạn chế việc ra quyết định chỉ dựa trên xử lý tự động – bao gồm lập hồ sơ. Đối với trẻ em, điều này áp dụng với mức độ tăng cường (GDPR Lời nói đầu 71):

• Lập hồ sơ tự động từ dữ liệu trường học – ví dụ: phân tích mô hình hành vi, “phân loại rủi ro” – chỉ được phép khi có sự đồng ý rõ ràng, dựa trên thông tin đầy đủ của cha mẹ
• Trẻ em (từ 14 tuổi tự mình, dưới tuổi đó thông qua cha mẹ) có quyền phản đối lập hồ sơ tự động (GDPR Điều 21)
• Bên kiểm soát dữ liệu phải thực hiện đánh giá tác động bảo vệ dữ liệu (GDPR Điều 35) khi lên kế hoạch lập hồ sơ quy mô lớn, có hệ thống đối với dữ liệu trẻ em

Lưu giữ và xóa dữ liệu trường học

Thời hạn lưu giữ dữ liệu được xử lý trong quản lý trường học do Nkt. và các nghị định thi hành xác định – quyền xóa theo GDPR không phải là cơ sở pháp lý chính. Điều này có nghĩa:

• Cơ sở giáo dục có nghĩa vụ lưu giữ dữ liệu hồ sơ trong thời hạn luật định
• Sau khi hoàn thành chương trình học, dữ liệu không được xử lý theo nghĩa vụ pháp lý phải được xóa (GDPR Điều 5 khoản 1 điểm e – giới hạn lưu trữ)
• Các ghi chú về hành vi hoặc phát triển – nếu không thuộc tài liệu bắt buộc lưu giữ – phải được xóa khi hoàn thành chương trình học

Lời khuyên thực tế cho phụ huynh

1. Suy nghĩ trước khi đăng tải – bức ảnh trông dễ thương hôm nay có thể khiến trẻ xấu hổ sau 10 năm
2. Xin phép trẻ trên 14 tuổi – theo Ptk. Điều 2:14 khoản 2, trẻ tự quyết định về quyền nhân thân của mình
3. Tránh nội dung có thể nhận dạng – do công nghệ nhận dạng khuôn mặt, hình ảnh tải lên hôm nay có thể vẫn nhận dạng được sau hàng thập kỷ
4. Cấu hình cài đặt quyền riêng tư mạng xã hội – nhưng nhớ rằng: chia sẻ hạn chế không miễn trừ trách nhiệm về quyền nhân thân
5. Tìm hiểu về xử lý dữ liệu trường học – yêu cầu thông báo bảo mật và chính sách xử lý dữ liệu của cơ sở

Lời khuyên thực tế cho thanh niên đã đủ tuổi thành niên

1. Yêu cầu xóa nội dung – trực tiếp từ cha mẹ hoặc qua nền tảng theo GDPR Điều 17
2. Nộp đơn khiếu nại lên NAIH – nếu bên kiểm soát dữ liệu (nền tảng) không tuân thủ yêu cầu xóa
3. Kiện về quyền nhân thân – nếu nội dung vẫn có thể truy cập và xâm phạm nhân phẩm (Ptk. Điều 2:51–2:52)
4. Rà soát dữ liệu trường học – yêu cầu xóa dữ liệu không bắt buộc lưu giữ sau khi hoàn thành chương trình học

Bảo vệ kỹ thuật số trẻ em nằm ở giao điểm của quyền nhân thân, bảo vệ dữ liệu và trách nhiệm của cha mẹ. Các quy định pháp luật hiện hành – quy định về quyền nhân thân trong Bộ luật Dân sự, quy tắc đặc biệt của GDPR về trẻ em và khung bảo vệ trẻ em của Gyvt. – cùng cung cấp các công cụ bảo vệ. Tuy nhiên, việc thực thi quyền đòi hỏi phụ huynh và thanh niên phải biết quyền của mình – và thực hiện chúng khi cần thiết.