Företag som inhämtar samtycke från barn är föremål för striktare krav än företag som inhämtar personuppgifter från myndiga personer. Det är tillåtet för ett barn att ge sitt samtycke till behandling av barnets personuppgifter i samband med vissa tjänster enligt GDPR.
Ifall ett företag erbjuder onlinetjänster till barn, och i samband med detta samlar in personuppgifter med stöd i samtycke, får samtycket bli inhämtat från barn som är minst 16 år gamla enligt GDPR. Däremot har länderna i EU rätt att sänka denna åldersgräns om de vill det. Exempelvis har Sverige och Finland sänkt åldersgränsen till 13 år. Observera att barn och ungas personuppgifter i synnerhet ska bli skyddade enligt GDPR.
Företag som inhämtar samtycke från barn
Barn har rätt att använda informationssamhällets tjänster och kan i vissa fall ge sitt eget samtycke till att tjänsteleverantören i fråga ska behandla personuppgifter som tillhör dem. Exempel på informationssamhällets tjänster är sociala medier och spel online.
Om barnet är yngre än den bestämda nationella åldersgränsen, eller yngre än 16 år i det fall landet inte har sänkt åldersgränsen, måste vårdnadshavaren ge sitt samtycke till behandlingen för att det ska vara giltigt.
Informera barnet om behandlingen av personuppgifterna
Alla företag som behandlar personuppgifter måste i enlighet med artikel 13 och 14 i GDPR informera de registrerade om behandlingen. Detta gäller även i de fall den registrerade är ett barn. Företaget måste då informera barnet om behandlingen av personuppgifterna.
Informationen om personuppgiftsbehandlingen ska vara skriven på ett enkelt och lättförståeligt språk när de registrerade är barn. Om exempelvis ett spel online är tillgängligt för barn i Holland, ska informationen om hur barnens personuppgifter blir behandlade vara formulerad på holländska. Ett stort välkänt företag fick betala en sanktionsavgift eftersom de informerade de registrerade om behandlingen på engelska i Holland.
Det är vanligt att sammanställa information om behandlingen av personuppgifterna i ett dokument som är kallat för Privacy Notice, som med fördel kan vara publicerad i sidfoten på företagets webbplats. Enligt reglerna i GDPR ska denna information framgå i direkt anslutning till insamlingen av personuppgifterna. Exempelvis bör informationen vara tillgänglig i samband med att barnet ska skapa sitt användarkonto till onlinetjänsten.
Högre krav för företag som behandlar personuppgifter från barn
Företag som bedriver onlinetjänster som många barn använder, såsom sociala medier, behöver veta att reglerna är striktare. Personuppgifter om barn är extra skyddsvärda. Företaget måste anpassa informationen så att barnen förstår vad det innebär att lämna ett samtycke till företaget.
Här är några saker att tänka på för företag som behandlar personuppgifter som tillhör barn:
- Genomför åtgärder för att förebygga nätmobbning, våld och annat innehåll som är olämpligt för barn.
- Behandla inte fler personuppgifter än nödvändigt.
- Se till att det är lika enkelt att återkalla samtycket som det var att ge samtycket.
- Se till att informationen om behandlingen är skriven med ett enkelt och lättförståeligt språk. Undvik användning av komplicerade ord eller för långa meningar.
- Det är inte tillåtet att uppmuntra, eller ha en design, text eller liknande som uppmuntrar, barn att exempelvis skicka eller publicera allt för personliga bilder.
Granskning av sociala medier för barn
Under år 2021 började den italienska dataskyddsmyndigheten (The Garante) intensifiera sitt arbete med att granska olika sociala medier som barn använder. Granskningen handlade främst om att se ifall tjänsteleverantörerna uppfyller kraven enligt GDPR avseende behandling av personuppgifter som tillhör barn.
Granskningen blev påbörjad efter att en 10-åring hade skapat flera användarkonton på sociala medier utan sina föräldrars samtycke, vilket inte är tillåtet enligt GDPR. Barnet avled och den italienska dataskyddsmyndigheten beordrade leverantören av mobilapplikationen att begränsa behandlingen av personuppgifter tillhörande vissa användare vars ålder leverantören inte var säker på.