Virksomheder der indhenter samtykke fra børn, er underlagt strengere krav end virksomheder, der indhenter personoplysninger fra voksne. Det er tilladt for et barn at give samtykke til behandling af sine personoplysninger i forbindelse med visse tjenester i henhold til GDPR.
Hvis en virksomhed tilbyder onlinetjenester til børn og i den forbindelse indsamler personoplysninger på grundlag af samtykke, kan der indhentes samtykke fra børn, der er mindst 16 år gamle i henhold til GDPR. På den anden side har EU-landene ret til at sænke denne aldersgrænse, hvis de ønsker det. Sverige og Finland har f.eks. sænket aldersgrænsen til 13 år. Bemærk, at børns og unges personoplysninger bør beskyttes, navnlig i henhold til GDPR.
Virksomheder der indhenter samtykke fra børn
Børn har ret til at anvende informationssamfundstjenester og kan i visse tilfælde give deres eget samtykke til den pågældende tjenesteudbyders behandling af personoplysninger, der tilhører dem. Eksempler på informationssamfundstjenester omfatter sociale medier og onlinespil.
Hvis barnet er under den nationale aldersgrænse eller under 16 år, hvis landet ikke har sænket aldersgrænsen, skal indehaveren af forældreansvaret give sit samtykke til behandlingen, for at den er gyldig.
Oplys barnet om behandlingen af personoplysningerne
Enhver virksomhed, der behandler personoplysninger, skal underrette de registrerede om behandlingen i overensstemmelse med artikel 13 og 14 i GDPR. Dette gælder også, hvis den registrerede er et barn. Virksomheden skal derefter informere barnet om behandlingen af personoplysningerne.
Oplysningerne om behandlingen af personoplysninger gives i et enkelt og letforståeligt sprog, når de registrerede er børn. Hvis f.eks. et onlinespil er tilgængeligt for børn i Holland, skal oplysningerne om, hvordan børns personoplysninger behandles, affattes på nederlandsk. En stor, velkendt virksomhed måtte betale en bøde, fordi den informerede de registrerede om behandlingen på engelsk i Holland.
Det er almindelig praksis at samle oplysninger om behandlingen af personoplysninger i et dokument kaldet meddelelsen om beskyttelse af privatlivets fred, som med fordel kan offentliggøres i bunden af virksomhedens websted. I henhold til reglerne i GDPR skal disse oplysninger fremgå umiddelbart efter indsamlingen af personoplysningerne. Oplysningerne bør f.eks. være tilgængelige, når barnet opretter sin brugerkonto til onlinetjenesten.
Højere krav til virksomheder, der behandler børns personoplysninger
Virksomheder, der driver onlinetjenester, som mange børn bruger, f.eks. sociale medier, skal vide, at reglerne er strengere. Børns personoplysninger er særligt beskyttelsesværdige. Virksomheden skal tilpasse oplysningerne, så børnene forstår, hvad det vil sige at give samtykke til virksomheden.
Her er nogle ting at huske på for virksomheder, der behandler børns personoplysninger:
- Gennemføre foranstaltninger til forebyggelse af cybermobning, vold og andet indhold, der er uegnet for børn.
- Må ikke behandle flere personoplysninger end nødvendigt.
- Sikre, at tilbagetrækning af samtykke er lige så let som at give samtykke.
- Sikre, at oplysningerne om behandlingen er skrevet i et enkelt og letforståeligt sprog. Undgå brugen af komplicerede ord eller for lange sætninger.
- Det er ikke tilladt at tilskynde eller have et design, en tekst eller lignende, der tilskynder børn til f.eks. at sende eller offentliggøre alt til personlige billeder.
Screening på sociale medier for børn
I 2021 begyndte den italienske databeskyttelsesmyndighed (Garante) at intensivere sit arbejde med at undersøge forskellige sociale medier, der anvendes af børn. Revisionen fokuserede på, om tjenesteudbydere overholder kravene i GDPR vedrørende behandling af børns personoplysninger.
Gennemgangen begyndte, efter at en 10-årig havde oprettet flere konti på sociale medier uden forældrenes samtykke, hvilket ikke er tilladt i henhold til GDPR. Barnet døde, og den italienske databeskyttelsesmyndighed pålagde udbyderen af mobilapplikationen at begrænse behandlingen af personoplysninger om visse brugere, hvis alder udbyderen ikke var sikker på.
