A GDPR a 38. cikkben rögzíti, hogy a gyermekek személyes adatainak védelme kitüntetett figyelmet élvez, és plusz kötelezettségeket ró azokra az adatkezelőkre, akik ilyen típusú adatokat kezelnek. Ennek a szabálynak a lefektetésére azért volt szükség, mert a gyermekek általánosságban nincsenek tisztában a személyes adatok kezelésével összefüggő kockázatokkal.

A Rendelet külön rendelkezéseket tartalmaz a gyermekek hozzájárulására vonatkozó feltételekkel kapcsolatban. Ennek alapján megállapítja, hogy abban az esetben, ha az adatkezeléshez hozzájárulás szükséges, akkor az adatok kezelése csak abban az esetben jogszerű, ha a gyermek a 16. életévét betöltötte. Ha a gyermek a 16. életévét még nem töltötte be, a személyes adatainak a kezelése csak akkor nem ütközik a Rendeletben rögzített szabályokba, ha a gyermek felett szülői felügyeletet gyakorló ad hozzájárulást, illetve engedélyezi az adatkezelést. Fontos kiemelni, hogy a tagállamoknak megvan az a lehetőségük, hogy akár a 16. életévnél alacsonyabb életkort is megállapítsanak, azonban az alsó határ nem lehet kevesebb, mint a 13. életév.

Abban az esetben, ha gyermekek személyes adatainak kezeléséről, illetve védelméről beszélünk, akarva akaratlanul is felmerül az emberben a kérdés, hogy a mai világban, hogyan lehet pontosan ellenőrizni azt, hogy ki hány éves valójában? A GDPR iránymutatása kimondja, hogy az adatkezelőnek „ésszerű erőfeszítéseket” kell tennie, annak érdekében, hogy meggyőződjön a hozzájárulást adó személy életkoráról. Ha a gyermek úgy ad hozzájárulást, hogy a megfelelő korhatárt még nem érte el, akkor az adatkezelés jogellenes lesz.

A hatályos iránymutatása szerint az is elvárás az adatkezelőkkel szemben, hogy olyan esetekben, amikor még szülői beleegyezéshez kötött hozzájárulás alapján kezelik az adatokat, nyomon kövessék, hogy az érintett gyermek mikor éri el azt a kort, amikor önállóan is megadhatja a hozzájárulását és ekkor ezt a megerősítést be is kell szerezni tőlük.