Många har reagerat på ålderskravet för lämnande av samtycke för personuppgiftsbehandling. Aftonbladet skrev att det snart kan vara "slutlajkat för alla som är under 16 år" (texten är nu uppdaterad), andra har ifrågasatt om det går att efterleva förbudet. Men regeln handlar inte om ett förbud för unga att använda sociala medier - det förordningen reglerar är företagens hantering av ungas personuppgifter. Här är en kort guide till åldersgränsen och förordningen.
Varför införs reglerna?
Åldersgränsen regleras i den kommande dataskyddsförordningen. Förordningen ersätter dataskyddsdirektivet från 1995 och personuppgiftslagen från 1998. De nuvarande reglerna är föråldrade och tandlösa.
Arbetet med att reformera det europeiska regelverket kring dataskydd inleddes 2012. Reformen ingår i EU-projektet "den digitala inre marknaden". Utöver nya dataskyddsregler föreslås konsumentlagstiftning som ger rätt att t ex häva köp av nedladdade spel och andra digitala produkter och som skyddar konsumenter som "köpt" tjänster genom att lämna ut personuppgifter. EU-kommissionen vill också se över upphovsrätten, förhindra geoblockering och förenkla momsreglerna för att främja den elektroniska handeln.
En undersökning från i höstas visade att bara hälften av de amerikanska och europeiska företagen känner till reformen. De som känner till den har i hög utsträckning börjat förbereda sig. Att det skulle införas betydligt tuffare sanktionsmöjligheter har varit känt länge, men åldersgränsen kom nog som en överraskning för många.
En åldersgräns för sociala medier kommer ju aldrig fungera i praktiken?
Bestämmelsen reglerar egentligen inte barns användning av sociala medier, utan företags hantering av barns personuppgifter. Det förordningen kräver är att företag ska vidta rimliga åtgärder för att säkerställa att användare är tillräckligt gamla för att själva lämna samtycke till personuppgiftshantering, vilket är fullt möjligt för företag att efterleva och för dataskyddsmyndigheterna att kontrollera. Vad "reasonable efforts" är inte exakt definierat, men detta kommer klargöras i praxis och riktlinjer.
Hur ska företag säkerställa att användare har åldern inne?
Företag, eller snarare den personuppgiftsansvarige, är skyldiga att se till att personuppgifter hanteras på rätt sätt. Detta innebär bl a att säkerställa att användare är tillräckligt gamla och att säkerställa att vårdnadshavare lämnat samtycke för behandling av barns personuppgifter.
Hur detta ska gå till är upp till företagen. Det finns inget krav på tekniska lösningar, och än så länge har åtminstone inte jag sett några rekommendationer eller riktlinjer. Men som Johan Engdahl, advokat vid MAQS, påpekar i den här artikeln om dataskyddsreformen kommer företagen sannolikt inte nöja sig med en klickruta.
Vad händer om ett barn uppger fel ålder?
Ingenting för barnets eller föräldrarnas del. Företag som bryter mot dataskyddsförordningen kan däremot få böta med en procentsats av årsomsättningen.
Barnens yttrandefrihet då?
Yttrandefriheten ger envar rätt att yttra sig utan av staten i förväg lagda hinder. Att inte få skriva i vissa tidningar eller använda sig av sociala medier är i juridisk mening ingen inskränkning av yttrandefriheten. Och reglerna förbjuder inte barn att använda sociala medier, de förbjuder företag att hantera barns personuppgifter utan samtycke från vårdnadshavare. Men visst begränsar åldersgränsen barns möjlighet att använda sig av yttrandefriheten med hjälp av vissa (privatägda företags) tjänster. Och barns möjligheter att utan föräldrars godkännande använda sig av tjänster som kräver inloggning med t ex Facebook-konto.
Vad innehåller förordningen utöver åldersgränsen?
Regler om böter om upp till fyra procent av årsomsättningen vid överträdelser, förbud mot profilering, krav på att företag lämnar information om dataintrång till myndigheter och användare och en "rätt att bli glömd" - bl a.
Måste Sverige införa lagstiftningen?
Ja, en förordning blir tillämplig som lag i EU:s medlemsstater.
Var kan jag läsa förordningen?
Här. Än så länge finns ingen svensk version.
När börjar reglerna gälla?
De antas sannolikt i april eller maj i år, och träder i kraft två år efter det.
Vad gäller idag?
Idag finns ingen motsvarande åldersgräns, däremot krävs samtycke för behandling av personuppgifter. Barn under 15 anses överlag inte inse innebörden av att lämna samtycke. Barn kan heller inte ingå avtal med bindande verkan.
Fredrik Svärd
fredrik@svard.com
Läs också
Sju frågetecken kring nya personuppgiftslagen
Vartannat företag känner inte till dataskyddsreformen
Sakta i backarna, Dagens Industri
Och priset för bästa recap av dataskyddsförordningen går till...
The definitive summary of the general data protection regulation (Privacy Engine)
Questions and answers - Data protection reform (EU-kommissionen)
Åldersgräns för barn på internet (Sharp Cookie Advisors)