Behandlar din organisation personuppgifter om barn? Då behöver ni kolla extra på hur just deras uppgifter behandlas. När det gäller barns personuppgifter innebär GDPR nämligen en hel del aspekter att ta hänsyn till. Här är några av de viktigaste sakerna att tänka på.
Information
Särskilda krav ställs på utformningen av informationen om behandlingen av barns personuppgifter. Förordningen trycker särskilt på att information till barn ska ha ett klart och tydligt språk. Den ska även vara i en koncis, begriplig och lätt tillgänglig form. Detta betyder att den som informerar ett barn om personuppgiftsbehandling måste anpassa hur informationen framställs så att barnet förstår vilken behandling som sker.
Detta betyder att den som har en verksamhet som innebär att personuppgifter om barn samlas in har en skyldighet att vara extra tydlig och pedagogisk i sin information. Även om det är en utmaning att på ett begripligt sätt beskriva hur personuppgifterna hanteras för exempelvis en 13-åring, är det långt ifrån en omöjlig uppgift.
Samtycke
En av de sex lagliga grunderna för personuppgiftsbehandling är samtycke. Med ett samtycke finns det stor frihet att utforma behandlingen på det sätt som passar verksamheten. Samtidigt ställer det höga krav på att den registrerade ska veta vilken behandling hen samtycker till. Samtycke är också begränsande eftersom det ofta inte kan förenas med ett avtalsförhållande och alltid kan dras tillbaka.
Det finns ingen tydlig åldersgräns för när ett barn kan lämna ett giltigt samtycke. Avgörande är om barnet har förstått vad det samtycker till. Enligt Integritetsskyddsmyndigheten ska samtycke alltid hämtas in från vårdnadshavaren om barnet är under 13 år. Integritetsskyddsmyndigheten säger också att ett barn över 16 år i regel kan ge ett giltigt samtycke till personuppgiftsbehandling. Mellan 13-16 år måste en bedömning göras i varje enskilt fall om barnet har förmåga att förstå konsekvenserna av att samtycka. Här är återigen utformningen av informationen viktig, om den är enkelt och pedagogiskt utformad kommer det att bli lättare att hävda att barnet har förmåga att förstå informationen.
För ”erbjudandet av informationssamhällets tjänster direkt till barn” är ett samtycke giltigt om barnet är 13 år eller äldre. Det är tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Exempel på sådana tjänster är Instagram eller Snapchat. Denna åldersgräns är reglerad i den svenska dataskyddslagen, vilket betyder att det kan se annorlunda ut i de andra EU-länderna.
Vill du veta mer om vad som krävs för ett giltigt samtycke, se det tidigare inlägget ”Samtycke som lagstöd – att vara eller inte vara”.
Avtal
En annan av de sex lagliga grunderna för personuppgiftsbehandling är att behandlingen ska vara nödvändig för fullgörandet av ett avtal. Möjligheten att stödja behandling av barns personuppgifter på att det är nödvändigt för att fullgöra ett avtal följer reglerna i svensk lag om hur ett barn under 18 år kan ingå avtal. Enligt svensk avtalsrätt har barn under 18 år endast en begränsad möjlighet att själva ingå avtal.
Ett barn som är över 16 år har möjlighet att sluta avtal i vissa fall. Barnet får köpa saker för pengar som hen själv tjänat genom arbete och även köpa sådant som behövs för den dagliga hushållningen i ett eget hushåll. I övrigt krävs samtycke från vårdnadshavaren för att ingå avtal. Samtycket behöver inte vara uttryckt utan kan vara tyst. Ingåendet av avtalet kan också godkännas av vårdnadshavaren i efterhand.
Intresseavvägning
Av de sex lagliga grunderna finns ytterligare en som påverkas av om det rör ett barns personuppgifter, den grund som brukar kallas intresseavvägning. Denna grund brukar beskrivas som en våg. I den ena vågskålen ligger att behandlingen är nödvändig för ändamål som rör ett företags berättigade intressen. I den andra ligger den registrerades intressen samt grundläggande rättigheter och friheter. Vad gäller den sistnämnda vågskålen väger den särskilt tungt när det rör sig om barn. Det gäller alltså att göra en ännu försiktigare avvägning när det gäller barns personuppgifter, än när det gäller vuxna.
GDPR Hero hjälper er gärna!
Om ni har några frågor är ni välkomna att höra av er på telefonnummer 046 – 273 17 17 eller mejla info@gdprhero.se. Vi kan hjälpa er med precis det ni behöver!
För att anmäla er till en kostnadsfri demo av vårt registerföringsverktyg, GDPR Hero, klicka här.
