Akt o digitalnim uslugama predstavlja zakonski okvir usmjeren uspostavi sigurnijeg i transparentnijeg digitalnog prostora, s posebnim naglaskom na zaštitu maloljetnika.

Ovisno o razini svoje zrelosti, djeca često ne razumiju dugoročne negativne posljedice obrade svojih osobnih podataka. Istodobno su vrlo otvorena za kratkoročne pozitivne učinke korištenja digitalnih sustava i usluga, zbog čega ih je lako potaknuti na njihovo korištenje. Djeca ne shvaćaju da se podaci koje otkrivaju, kao i oni koji nastaju promatranjem njihova ponašanja, koriste za stvaranje novih podataka o njima. Ti novi podaci oblikuju njihovo razumijevanje svijeta, utječu na njihove društvene odnose, utječu na samopouzdanje te omogućuju predviđanje njihova ponašanja.

 

Zbog razine zrelosti djeca su u pravilu manje sposobna od odraslih izbjegavati rizike povezane s obradom svojih podataka i zaštititi se od povreda svojih temeljnih prava. Također, najčešće nisu svjesna svojih prava kao ispitanika, a čak i kada bi ta prava poznavala, često ih ne bi mogla učinkovito ostvariti.

 

Zbog svega navedenog, djeca imaju posebnu potrebu za zaštitom u digitalnom prostoru i u pogledu obrade njihovih podataka. To zahtijevaju članak 24. Povelje Europske unije o temeljnim pravima i Konvencija UN-a o pravima djeteta.

 

Zaštita podataka djece prema Općoj uredbi o zaštiti podataka (GDPR)

Prema uvodnoj izjavi 38. GDPR-a, djeca zaslužuju „posebnu zaštitu u pogledu njihovih osobnih podataka, budući da možda nisu svjesna rizika, posljedica i zaštitnih mjera kao ni svojih prava u vezi s obradom osobnih podataka”. U skladu s člankom 1. Konvencije UN-a o pravima djeteta, pravo EU-a definira dijete kao „svaku osobu mlađu od 18 godina”.

GDPR uzima u obzir posebnu ranjivost djece u više svojih odredbi:

1. Privola djeteta za usluge informacijskog društva

Člankom 8. st. 1. GDPR-a određeno je da je privola djeteta zakonita ako je dijete navršilo 16 godina. Države članice smiju tu dobnu granicu sniziti na 13 godina.

Prema hrvatskom Zakonu o provedbi GDPR-a (članak 19.), privola djeteta za takve usluge vrijedi samo ako je dijete staro najmanje 16 godina i ima prebivalište u RH. Suprotno postupanje predstavlja kršenje GDPR-a i kažnjivo je prema članku 83. GDPR-a.

2. Test legitimnog interesa

Prema članku 6. st. 1. točki (f) GDPR-a, prilikom testa ravnoteže potrebno je posebno uzeti u obzir interese i temeljna prava ispitanika „kada je ispitanik dijete”.

3. Informiranje djece

Članak 12. st. 1. GDPR-a propisuje da informacije iz članaka 13., 14. i 15. GDPR-a moraju biti napisane jasnim i jednostavnim jezikom, posebno kada su namijenjene djeci.

4. Brisanje podataka djece

Članak 17. st. 1. točka (f) GDPR-a propisuje brisanje osobnih podataka koji su prikupljeni na temelju privole djeteta.

 

GDPR inače ne razlikuje djecu i odrasle u većini svojih odredbi — ista načela, prava i obveze vrijede za obje skupine. Ipak, posebna ranjivost djece mora se uzeti u obzir u primjeni Uredbe, sukladno članku 1. st. 2. GDPR-a, članku 24. Povelje EU-a i Konvenciji UN-a o pravima djeteta. GDPR ne daje potpuno razrađen koncept zaštite djece, nego selektivnu zaštitu, bez jasnih pravila u svim situacijama.

 

Zaštita maloljetnika prema Aktu o digitalnim uslugama (DSA)

1. Osiguranje privatnosti i sigurnosti

Internetske platforme moraju osigurati visoku razinu zaštite privatnosti i sigurnosti za maloljetnike, uključujući odgovarajuće tehničke i organizacijske mjere u skladu s GDPR-om.

2. Zaštita od štetnih sadržaja

Internetske platforme su obvezne spriječiti izlaganje maloljetnika sadržajima koji bi mogli štetno utjecati na njihov fizički, mentalni ili moralni razvoj. To uključuje automatsko filtriranje, uklanjanje štetnog sadržaja te reagiranje na prijave nezakonitih sadržaja.

3. Zabrana ciljane reklame prema maloljetnicima

DSA izričito zabranjuje prikazivanje ciljane reklame temeljene na profiliranju kada je korisnik maloljetnik.

Tijelo nadležno za transparentnost sustava za preporučivanje i zaštitu maloljetnika na internetu odnosno za provedbu članaka 27. i 28. DSA je Agencija za zaštitu osobnih podataka (članak 7. Zakona o provedbi Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama)

4. Ako je usluga posredovanja prvenstveno usmjerena na maloljetnike ili je maloljetnici najviše koriste, pružatelj mora objasniti uvjete korištenja na način razumljiv maloljetnicima (čl. 14. st. 3.).

 

Znači članak 28. DSA-a zahtijeva da pružatelji internetskih platformi dostupnih maloljetnicima:

– osiguraju odgovarajuće i proporcionalne mjere za visoku razinu privatnosti, sigurnosti i zaštite maloljetnika,

– ne prikazuju oglase temeljene na profiliranju kada s razumnom sigurnošću znaju da je korisnik maloljetnik,

– nisu obvezni obrađivati dodatne osobne podatke radi utvrđivanja je li korisnik maloljetnik,

– razumiju rizike koje njihove usluge predstavljaju za maloljetnike (npr. štetni sadržaj, rizici za privatnost, zdravlje, dobrobit, utjecaj naprednih tehnologija), te da svoje tehničke i organizacijske mjere prilagode tim rizicima.

 

Kada mjere uvedene radi zaštite maloljetnika uključuju obradu osobnih podataka (npr. provjera dobi, roditeljski nadzor, alati za prijavu zlouporabe), voditelji obrade moraju procijeniti nužnost i proporcionalnost takvih mjera.

 

Pružatelj može znati da uslugu koriste maloljetnici i bez dodatne obrade podataka, primjerice:

–  ako uvjeti korištenja dopuštaju korištenje maloljetnicima,

–  ako je usluga usmjerena na maloljetnike ili je oni pretežito koriste,

–  ako već obrađuje podatke koji otkrivaju dob u druge svrhe.

 

GDPR zahtijeva zakonitu osnovu za obradu osobnih podataka. Članci 28(1) i 28(2) DSA-a mogu predstavljati pravnu osnovu prema članku 6(1)(c) GDPR-a, ali samo ako voditelj obrade dokaže da je takva obrada nužna i proporcionalna cilju. Obrada prema toj osnovi mora biti najmanje invazivna i jednako učinkovita.

 

Obrada posebnih kategorija podataka (čl. 9. GDPR-a), poput biometrije za jedinstvenu identifikaciju, treba se izbjegavati, osobito kod djece.

 

Provjera dobi ne mora uključivati identifikaciju korisnika. Pružatelji bi trebali izbjegavati mehanizme koji omogućuju nedvosmislenu identifikaciju (npr. traženje službene osobne iskaznice). Ako je provjera dobi nužna, mora se temeljiti na rizicima. Obrada osobnih podataka treba biti ograničena samo na ono što je nužno. Ako je dobna skupina dovoljna za razumnu sigurnost, ne treba tražiti točan datum rođenja.

Platforme ne bi smjele provjeravati niti trajno pohranjivati dob, već samo zabilježiti ispunjava li korisnik uvjete za korištenje, u skladu s načelom smanjenja količine podataka.

Ovaj članak ne obrađuje daljnje mjere prema  DSA-a u odnosu na zaštitu maloljetnika kod vrlo velikih internetskih platformi i internetskih tražilica.

odvjetnik Igor Dlačić, 25.11.2025.

 

Članak 28. DSA;

[1] Pružatelji internetskih platformi dostupnih maloljetnicima uspostavljaju odgovarajuće i razmjerne mjere kako bi osigurali visoku razinu privatnosti, sigurnosti i zaštite maloljetnika na svojoj usluzi.

2.   Pružatelji internetskih platformi ne smiju prikazivati oglase na svojem sučelju na temelju izrade profila kako je definirana u članku 4. točki 4. GDPR upotrebom osobnih podataka primatelja usluge ako s dovoljnom sigurnošću znaju da je primatelj usluge maloljetna osoba.

3.   Usklađenost s obvezama utvrđenima u ovom članku ne obvezuje pružatelje internetskih platformi da obrađuju dodatne osobne podatke kako bi procijenili je li primatelj usluge maloljetna osoba.