Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/26

Kraj:

Wielka Brytania

Data wydania decyzji:

23.02.2026 r.

Podmiot kontrolowany:

Reddit, Inc.

Wysokość kary (EUR):

16.610.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6 ust. 1 lit. a), b), f), art. 8, art. 35 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Bezpośrednią przyczyną naruszenia był brak skutecznych mechanizmów weryfikacji wieku użytkowników oraz oparcie całego procesu na samodeklaracji wieku. W konsekwencji administrator nie był w stanie zapobiec korzystaniu z usługi przez dzieci poniżej 13. roku życia, co doprowadziło do przetwarzania ich danych bez podstawy prawnej oraz bez uprzedniej analizy ryzyka.

 

Opis wydarzeń

  1. Kontrola wszczęta w związku z obawami regulatora dotyczącymi ochrony dzieci: Postępowanie zostało zainicjowane przez brytyjski organ nadzorczy w ramach szerszych działań nadzorczych dotyczących platform internetowych i ich wpływu na bezpieczeństwo dzieci. Organ nadzorczy analizował zgodność usług cyfrowych z Age Appropriate Design Code, identyfikując podmioty, w których istnieje wysokie ryzyko przetwarzania danych dzieci bez odpowiednich zabezpieczeń.
  2. Brak realnej weryfikacji wieku użytkowników: Platforma Reddit formalnie zabraniała korzystania z serwisu osobom poniżej 13. roku życia, jednak przez długi czas nie stosowała żadnych skutecznych mechanizmów weryfikacji wieku. W praktyce oznaczało to, że ograniczenie miało wyłącznie charakter deklaratywny i było łatwe do obejścia.
  3. Oparcie systemu na samodeklaracji wieku: Proces rejestracji użytkownika opierał się na podaniu daty urodzenia bez mechanizmów walidacyjnych. Brytyjski organ nadzorczy wskazał, że takie rozwiązanie jest niewystarczające w usługach wysokiego ryzyka dla dzieci, ponieważ może być łatwo obchodzone.
  4. Przetwarzanie danych dzieci bez podstawy prawnej: W wyniku nieskutecznych mechanizmów kontroli wieku, na platformie znajdowała się znaczna liczba użytkowników poniżej 13 lat. Ich dane osobowe były przetwarzane bez ważnej podstawy prawnej, co stanowiło bezpośrednie naruszenie przepisów o ochronie danych.
  5. Brak przeprowadzenia DPIA przed rozpoczęciem przetwarzania: Reddit nie przeprowadził oceny skutków dla ochrony danych w kontekście ryzyka dla dzieci aż do stycznia 2025 r., mimo że platforma była powszechnie używana przez osoby niepełnoletnie. DPIA została wykonana dopiero po latach funkcjonowania usługi.
  6. Narażenie dzieci na nieodpowiednie treści: W wyniku braku odpowiednich zabezpieczeń dzieci mogły uzyskać dostęp do treści nieodpowiednich dla ich wieku. W konsekwencji naruszenie nie ograniczało się wyłącznie do aspektu formalnego, lecz miało realny wpływ na bezpieczeństwo użytkowników.
  7. Opóźnione wdrożenie środków naprawczych: Dopiero w lipcu 2025 r. wdrożono częściowe mechanizmy weryfikacji wieku, jednak nadal nie były one w pełni skuteczne i w dużej mierze opierały się na dotychczasowym modelu deklaratywnym.
  8. Wysoka kara finansowa jako efekt skali naruszenia: Brytyjski organ nadzorczy nałożył karę w wysokości 14,47 mln GBP, podkreślając wagę naruszenia, jego systemowy charakter oraz skalę potencjalnych skutków dla dzieci jako szczególnie chronionej grupy osób.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie skutecznych mechanizmów weryfikacji wieku: Należy stosować rozwiązania weryfikacji wieku dostosowane do poziomu ryzyka, takie jak weryfikacja dokumentów, analiza behawioralna czy inne techniki proporcjonalne do charakteru usługi. Samodeklaracja nie powinna być jedynym mechanizmem, szczególnie w usługach dostępnych dla dzieci lub mogących generować wysokie ryzyko.
  2. Przeprowadzanie DPIA przed rozpoczęciem przetwarzania: W przypadku usług skierowanych lub dostępnych dla dzieci konieczne jest przeprowadzenie oceny skutków dla ochrony danych jeszcze przed wdrożeniem rozwiązania. Analiza powinna obejmować ryzyka behawioralne, profilowanie oraz ekspozycję na treści.
  3. Stosowanie zasady privacy by design i by default: Systemy powinny być projektowane w sposób uwzględniający szczególne potrzeby dzieci, m.in. ograniczenie profilowania, minimalizację danych oraz domyślne ustawienia prywatności na najwyższym poziomie.
  4. Zapewnienie właściwej podstawy prawnej przetwarzania danych dzieci: Każde przetwarzanie danych dzieci powinno być szczegółowo analizowane pod kątem legalności, w tym spełnienia warunków zgody rodzicielskiej tam, gdzie jest ona wymagana.
  5. Regularny przegląd ryzyk i środków bezpieczeństwa: Systemy powinny być regularnie audytowane i dostosowywane do zmieniających się zagrożeń oraz zachowań użytkowników, szczególnie w środowisku cyfrowym.
  6. Uwzględnienie wytycznych organów nadzorczych: Organizacje powinny aktywnie śledzić i implementować wytyczne dotyczące ochrony danych dzieci, w tym podejście oparte na ryzyku oraz zasadę najlepszego interesu dziecka.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO