Barns rättigheter på onlinetjänster, även kallat informationssamhällets tjänster
GDPR reglerar bland annat barns rättigheter på onlinetjänster, även kallat informationssamhällets tjänster. Exempelvis sociala medier.
Åldersgräns för att inhämta samtycke från barn
Enligt GDPR det tillåtet för barn som är 16 år eller äldre att använda onlinetjänster och därmed ingå avtal med företaget som tillhandahåller onlinetjänsten. Däremot har medlemsländerna rätt att sänka åldern, vilket ett flertal länder har gjort. Sverige har till exempel sänkt åldern till 13 år.
Skillnader beroende på barnets ålder
I och med att mognaden förändrats snabbt för barn, är det skillnad mellan en 13 och 16 åring. Det innebär också att barnet får bättre förmåga att kunna förstå konsekvenser och sin egen förmåga, i takt med att barnet blir äldre. Riskförmågan blir bättre med åldern och därför kan barn utveckla sin förmåga att till exempel hantera mer skrämmande innehåll ju äldre de blir. Dessutom löper barn med neuropsykiatriska funktionsnedsättningar (NPF) eller intellektuell funktionsnedsättning större risk för att bli utsatta, och detta är något som företag måste beakta. Företag måste iaktta barns rättigheter på onlinetjänster, när de tillhandahåller sådan plattform där barn är användare.
Barn och digitala miljöer
Det är väldigt vanligt att barn spenderar mycket tid på digitala miljöer såsom sociala medier. Dessutom är det vanligt att de ofta byter tjänster som de använder, och väldigt få barn läser villkoren gällande tjänsterna. Det finns särskilda regler som gäller för barn och därför är det viktigt att ha kunskap om regelverket vid skapande och tillhandahållande av en digital plattform för barn. Det är också bra för föräldrar att känna till barns rättigheter på onlinetjänster.
Högre krav på företag gällande barns rättigheter på onlinetjänster
Företag ska skapa säkra och trygga digitala miljöer som riktar sig till barn. En utgångspunkt är att anpassa tjänsten efter barnets bästa, vilket även framgår av barnkonventionen.
Barn är extra skyddsvärda
Barn är en särskilt utsatt grupp eftersom de kan ha sämre förmåga att förstå konsekvenserna av sina handlingar på internet, exempelvis sociala medier. Därför har de ett starkare skydd än vuxna. Även personer med någon sjukdom som kan försämra förmågan att förstå konsekvenserna av sina handlingar, har ett starkare skydd. Inte bara genom GDPR, utan även andra lagar och konventioner, såsom barnkonventionen. Vissa EU-länder har antagit barnkonventionen som nationell lagstiftning också, bland annat Sverige.
Information om behandlingen av personuppgifterna ska tillhandahållas på det nationella språket
Om ett företag bedriver till exempel sociala medier där en stor del av användarna är barn, ska informationen om behandlingen av personuppgifterna vara formulerad på samma språk som det nationella språket. Till exempel ska det vara beskrivet på svenska i Sverige, tyska i Tyskland och så vidare. Dessutom ska språket vara enkelt att förstå och företaget bör bland annat undvika för långa meningar och komplicerade ord. Barn och unga ska även kunna navigera och förstå informationen enkelt, därför bör texten inte vara för lång eller omfattande.
Företag fick betala sanktionsavgift eftersom informationen om behandlingen var på engelska
Ett stort internationellt företag som bedriver en mobilapplikation och har många barn som användare, fick betala en sanktionsavgift för att informationen om behandlingen av personuppgifterna var på engelska. Det var den holländska tillsynsmyndigheten som tilldelade sanktionsavgiften, eftersom informationen borde ha varit på holländska.
Skydd mot skadlig mediepåverkan
Företag som bedriver onlinetjänster som riktar sig till barn, ska se till att skydda barnen från skadlig mediepåverkan. Det är ett begrepp som omfattar bland annat skadligt medieinnehåll, kommunikativt handlade, handhavande och interaktionsdesign. Det är inte bara GDPR som reglerar skadlig mediepåverkan mot barn, utan det kan även framgå i flera lagar. I Sverige framgår regleringar kring detta bland annat i radio- och tv-lagen (från direktivet om audiovisuella medietjänster) och marknadsföringslagen.
Skadligt medieinnehåll
Skadligt medieinnehåll handlar om att skydda barnen från innehåll som kan resultera i negativa konsekvenser. Exempelvis innehåll om våld, pornografi och skräck. Dessutom är propaganda, problematiska skönhetsideal och andra saker som genom upprepad exponering kan påverka barnet negativt förbjudet. Företag måste också följa åldersgränser för barn och andra regler som medieråd har på filmer som visas offentligt.
– Skadligt kommunikativt handlade
Företag som bedriver onlinetjänster ska bland annat förebygga hot, hat och mobbning på plattformen, vilket utgör former av skadligt kommunikativt handlade. Dessutom ska företaget förebygga folk mot hetsgrupp. Skadligt kommunikativt handlande omfattar också till exempel beroende frågor eller problematisk användning av skärmar.
– Skadlig interaktionsdesign
Företag som bedriver onlinetjänster får inte utforma designen på ett sätt så att barn utför handlingar som kan resultera i negativa konsekvenser, vilket utgör skadlig interaktionsdesign. Ett praktiskt exempel är om plattformen begär att barnen delar med sig av känsliga eller personliga bilder på sig själva.
Barnkonventionen
FN:s konvention om barnets rättigheter, även kallat för barnkonventionen, innehåller bestämmelser om barns rättigheter. Till exempel behovet av säkerhet, välbefinnande, hälsa, yttrandefrihet m.m. Barn har rätt att sprida information och sina tankar enligt barnkonventionen, vilka ska bli respekterade. Däremot ska de också skyddas från skadlig information.
Marknadsföring
Det är viktigt att tänka på att det inte är tillåtet med direktmarknadsföring till barn som är under en viss ålder. Åldersgränsen beror på den nationella lagstiftningen. I Sverige är det förbjudet med direktmarknadsföring till barn under 16 år. Direktmarknadsföring är när ett företag skickar direkta köpuppmaningar till en potentiell köpare.
Föräldrar som publicerar bilder på sina barn kan vara personuppgiftsansvariga enligt GDPR
Föräldrar som publicerar bilder på sina barn kan anses agera i egenskap av personuppgiftsansvariga, vilket medför skyldigheter enligt GDPR. Det är något som många saknar kunskap om. Med andra ord finns det gränser för vad föräldrar på publicera om sina barn, även fast det råder yttrandefrihet. Undantagen är om behandlingen av personuppgifterna tillhörande barnen sker av journalistiska eller privata ändamål. Begreppet privata ändamål kan vara svårt att ge en exakt definition av, eftersom det inte är helt klart, men kort sagt handlar det om behandling av rent privat karaktär. Om publicering sker för en bredare krets, kan det anses vara av icke-privat natur och därmed inte undantaget från reglerna i GDPR. Exempelvis influensers i sociala medier. Dessutom gäller inte det så kallade privatundantaget om det föreligger kommersiella intressen med publiceringen ifråga.
Om en förälder publicerar inlägg om sitt barn, utan att det uppfyller kraven för undantagen från GDPR, är föräldern personuppgiftsansvarig. Det medföljer skyldigheter som till exempel krav på rättslig grund för behandlingen, att de grundläggande dataskyddsprinciperna efterföljs och att information om hur personuppgifterna blir behandlade framgår. Det kan vara så att behandlingen är laglig, men det finns flera saker föräldrar som publicerar bilder, text eller videor på sina barn bör tänka på:
– Vems intresse värnar jag om, mitt eller barnets?
– Vad kommer barnet tycka när denne växer upp?
– Hade jag tyckt om i fall att mina föräldrar publicerat en sådan bild på mig när jag var barn?
Det kan vara svårt att radera inlägg som blir publicerade online och detta är viktigt att känna till.
Barns rättigheter i GDPR-artiklarna
Viktiga punkter att känna till för företag som bedriver onlinetjänster riktade till barn
– Utgångspunkten ska alltid vara barnets bästa.
– Det finns flera lagar som reglerar starkare skydd för barn, och varje land kan ha olika sådana lagar. Det är viktigt att företaget följer lagarna i det land onlinetjänsten finns tillgänglig. Exempelvis finns även EU-direktivet om audiovisuella medietjänster och barnkonventionen som flera EU-länder länder även har antagit som nationell lagstiftning.
– Språket som företaget använder för att informerar barnen om behandlingen av personuppgifterna måste vara enkelt att förstå för barnen. Exempelvis genom att inte ha så långa meningar, för lång text och att det ska vara skrivet på samma språk som det som talas i landet där barnet befinner sig. Ett företag som bedriver en mobilapplikation som många barn använder fick en sanktionsavgift eftersom språket var på engelska.
– Om företaget använder samtycke som den rättsliga grunden, är det viktigt att det är ett korrekt samtycke, vilket sker genom att den registrerade har lämnat en tydlig och aktiv viljeyttring. Det är viktigt att det inte sker någon påtryckning eller liknande.
– Tänk på att försöka behandla så få personuppgifter som möjligt, i enlighet med principen om uppgiftsminimering. Dessutom är det viktigt att motverka hot, hat och annan skadlig mediepåverkan på plattformen.
Cookies
Många webbplatser och applikationer använder kakor, även kallat för cookies på engelska. Dessutom är det många som behandlar cookies på ett felaktigt sätt, vilket kan vara bra att veta. Genom cookies kan man bland annat se IP-adressen av den registrerade. Det avser då en personuppgift och behandlingen måste följa bestämmelserna i GDPR.