Skyldigheter för företag som driver onlinetjänster enligt GDPR

Det finns skyldigheter för företag som driver onlinetjänster enligt GDPR som är viktiga att känna till, speciellt om användarna är barn.

Skyldigheter för företag som driver onlinetjänster enligt GDPR

Onlinetjänster

Samhället blir allt mer digitalt och det är vanligt med digitala tjänster. Exempelvis sociala medier, e-handel och internetsökningar via sökmotorer m.m. Ett annat ord för onlinetjänster är informationssamhällets tjänster

Olika sätt att finansiera onlinetjänster

Vissa onlinetjänster tar betalt när en användare använder tjänsten eller köper en produkt. Andra onlinetjänster erbjuder gratis användning för användarna, men tar istället betalt från annonsörer på plattformen. 

Informera om ändamålen

Enligt GDPR måste företag som behandlar personuppgifter ha ett ändamål med behandlingen. Dessutom ska företaget informera de registrerade om vilket ändamålet är, alltså syftet med behandlingen. Detta behöver företaget identifiera innan behandlingen börjar. 

Behandla inte fler personuppgifter än nödvändigt

Företag ska inte behandla fler personuppgifter än det som är nödvändigt för ändamålet. Dessutom måste ändamålet med behandlingen vara tydligt och specificerat. Det är inte tillåtet att behandla personuppgifter för till exempel ”forskning i framtiden” eller ”marknadsföringsändamål”, eftersom det inte är tillräckligt specifikt beskrivet. 

Kombinera avtal och samtycke som rättslig grund för behandling av samma personuppgifter men för olika ändamål

Företag måste ha en rättslig grund för att få behandla personuppgifter. Det är vanligt att använda avtal som rättslig grund i samband med onlinetjänster, men det är inte tillåtet att behandla fler personuppgifter än nödvändigt för att fullgöra avtalet.

Om en användare behöver fylla i vissa personuppgifter för att kunna använda tjänsten och därmed fullgöra avtalet, är det inte tillåtet att behandla fler personuppgifter för att till exempel kunna utföra riktad annonsering. Vid sådana fall behöver företaget använda en annan rättslig grund för det ändamålet, till exempel samtycke. Observera att det är viktigt att vara tydlig med vilken rättslig grund som företaget använder för varje enskild behandling. 

Rättigheter för barn online

Barn är extra skyddsvärda och har särskilda rättigheter vid användning av plattformar online. Företag måste följa skyddsbestämmelserna och riskerar i annat fall konsekvenser.

Allt fler barn och unga använder sig av digitala plattformar och digitala miljöer är ofta en del av deras vardag. En utgångspunkt är att utgå från vad som är det bästa för barnet, när ett företag tillhandahåller en digital plattform för unga. 

Åldersgräns

Enligt GDPR är det tillåtet att behandla personuppgifter som tillhör barn som är 16 år eller äldre, när de använder onlinetjänster såsom sociala medier. Däremot har medlemsländerna rätt att sänka åldern. I Sverige är åldern därför sänkt till 13 år. Med andra ord får barn som är 13 år eller äldre samtycka till att företag behandlar personuppgifter som tillhör dem vid användning av onlinetjänster.

Observera att informationen till barn om behandlingen av deras personuppgifter ska vara tydlig och lättförståelig. Företag ska bland annat inte använda komplicerade ord eller ha för långa texter när de informerar barnen om behandlingen och begär barnets samtycke. 

Åldern på barnet påverkar vad som bedöms vara skadligt eller inte. Om barnet är 13 år, är barnet oftast inte lika mogen som en 16 åring. Ju äldre ett barn blir, desto större förmåga får de att förstå olika situationer och konsekvenser av sina handlingar. 

Trygga miljöer digitalt

Det ska vara tryggt för barn att vara på digitala miljöer och det är företagen som tillhandahåller plattformarna som ansvarar för att det ska vara så. Till exempel ska barnen bli skyddade från skadlig mediepåverkan. Det avser bland annat:

– Medieinnehåll som är skadligt. 

– Kommunikativt handlade som är skadligt. 

– Interaktionsdesign och handhavande som är skadligt. 

Barnkonventionen är antagen som svensk lagstiftning

Barnkonventionen är svensk lag och reglerar rättigheter för barn. Eftersom det numera är en svensk lag, har barn ett starkare juridiskt skydd.

I barnkonventionen framgår universella bestämmelser om bland annat säkerheten, välbefinnande och utvecklingen för barn. Sverige har en statlig myndighet vid namn Barnombudsmannen, som företräder barn gällande deras rättigheter och intressen och utgår från barnkonventionen. 

Barns rättigheter på onlinetjänster gdpr

Regler om cookies

Cookies, även kallat för kakor, är små textfiler som en webbplats kan lagra på den enhet som blir använd vid besök av en webbplats. Enheten kan vara exempelvis en dator, mobiltelefon eller surfplatta. Det är vanligt för företag som tillhandahåller en webbplats eller applikation att använda cookies för att bland annat se beteendet hos besökarna. Cookies kan bli använda för att analysera användningen av plattformen, rikta annonser till besökaren, spara besökarens inställningar m.m. 

Det finns olika typer av cookies, som blir lagrade i enheten olika länge. Dessutom finns det olika typer av kategorier av cookies. Exempelvis nödvändiga cookies och övriga icke-nödvändiga cookies, såsom analytiska cookies eller marknadsföringscookies.

Icke-nödvändiga cookies får enbart bli använda om besökaren har samtyckt till det. Dessutom ska företaget kunna bevisa att ett samtycke har blivit lämnat. 

Om de cookies som blir använda samlar in personuppgifter, exempelvis IP-adresser, gäller GDPR och då ska företaget ge besökaren information om behandlingen av personuppgifterna. Dessutom ska företaget informera besökaren om vilka rättigheter denne har enligt GDPR m.m.