Allar spurningar og svör

Börn og persónuvernd

Persónuupplýsingar barna njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu persónuupplýsinga.

Hvað þarf að hafa í huga varðandi börn og persónuvernd þeirra?

Börn eiga rétt á friðhelgi einkalífs rétt eins og fullorðnir. Persónuupplýsingar barna eiga að njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnsluna. Er þetta sérstaklega áréttað í formálsorðum persónuverndarreglugerðarinnar.

Ef unnið er með persónuupplýsingar um börn, t.d. með því að birta myndir af þeim í auglýsingum, er því mikilvægt að hugað sé að vernd þeirra. Þá skiptir miklu máli að fylgja ávallt meginreglum persónuverndarlaganna, og skal sanngirni til dæmis höfð að leiðarljósi við alla vinnslu.

Eru nýmæli í nýrri persónuverndarlöggjöf varðandi persónuvernd barna?

Já, þar er börnum veitt sérstök vernd þar sem afla þarf samþykkis foreldra eða forráðamanna áður en börn undir 13 ára aldri skrá sig í þjónustu í upplýsingasamfélaginu. Börnum yfir 13 ára aldri þurfa hins vegar ekki samþykki forráðamanna.

Þá ættu hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið. 

Einnig má nefna að réttur til eyðingar persónuupplýsinga kann að vera sérstaklega mikilvægur í þeim tilvikum þegar einstaklingur var barn þegar hann gaf samþykki sitt fyrir vinnslunni.

Við hvaða heimild má styðja vinnslu persónuupplýsinga um börn?

Öll vinnsla persónuupplýsinga þarf að styðjast við heimild í persónuverndarlögum. Meðal þeirra heimilda, sem þar eru taldar upp, eru samþykki, nauðsyn vegna framkvæmdar samnings, og lögmætir hagsmunir. 

Þegar þú styður vinnslu persónuupplýsinga við samþykki þarf að vera skýrt að barnið skilji hvað það er að samþykkja.

Þegar þú styður vinnslu persónuupplýsinga um börn við nauðsyn vegna framkvæmdar samnings þarft þú að huga að getu barnsins til að skilja hvað efni samningsins, sem það er aðili að, felur í sér. Skiptir þar aldur barnsins einnig máli.

Þegar þú styður vinnslu persónuupplýsinga um börn við lögmæta hagsmuni er það á ábyrgð þína að koma auga á áhættu og afleiðingar vinnslunnar og að gera viðeigandi ráðstafanir með tilliti til aldurs barnsins.

Hvaða reglur gilda um samþykki?

Þegar vinnsla er byggð á samþykki, í tengslum við það þegar barni er boðin þjónusta í upplýsingasamfélaginu með beinum hætti, skal slík vinnsla teljast lögmæt ef barn hefur náð 13 ára aldri. Sé barnið undir 13 ára aldri telst vinnslan aðeins lögmæt að því marki sem forsjáraðili þess heimilar samþykkið.

Samþykki forsjáraðila er þó ekki nauðsynlegt þegar um er að ræða forvarnar- eða ráðgjafarþjónustu sem barni er boðin beint.

Með þjónustu í upplýsingasamfélaginu er átt við samninga og aðra þjónustu sem veitt er á Netinu. Ef um er að ræða tvær aðgerðir, svo sem kaup og sölu á Netinu annars vegar og afhendingu vörunnar hins vegar, myndi sú fyrrnefnda teljast til þjónustu í upplýsingasamfélaginu en ekki sú síðarnefnda. Þá verður þjónustan að vera boðin með beinum hætti. Í því felst að ef ábyrgðaraðili undanskilur börn undir 18 ára aldri frá þjónustunni, t.d. með efni síðunnar eða markaðssetningu, verður ekki talið að þjónustan sé boðin barni með beinum hætti.

Ábyrgðaraðili, þ.e. sá sem ber ábyrgð á vinnslu persónuupplýsinganna, verður að grípa til eðlilegra ráðstafana til að ganga úr skugga um að notandi hafi náð lágmarksaldri samkvæmt lögum til að geta veitt samþykki sitt. Þær ráðstafanir skulu taka mið af eðli þeirra persónuupplýsinga sem er safnað og umfangi vinnslunnar. Athygli er vakin á því að ef vinnsla persónuupplýsinga fer fram á grundvelli samþykkis barns, sem ekki hefur náð 13 ára aldri, er ekki um að ræða fullnægjandi vinnsluheimild.

Ekki eru sérstakar reglur í lögum um hvernig eigi að afla samþykkis eða staðfestingar frá forsjáraðila. Mælt er með því að leggja áherslu á að safna eingöngu nauðsynlegum uppýsingum, s.s. tengiliðaupplýsingum foreldris eða forsjáraðila. Þá þarf einnig að meta umfang upplýsingasöfnunarinnar út frá eðli þeirra persónuupplýsinga sem unnið er með og umfangi vinnslunnar. Ef áhættan er lítil getur verið fullnægjandi að óska eftir tölvupóstfangi hjá forsjáraðila til að afla samþykkis hans. 

Samþykki forsjáraðila rennur út þegar barnið, sem um ræðir, nær 13 ára aldri, en þá þarf að afla samþykkis þess fyrir vinnslunni. 

Sjá nánari umfjöllun í leiðbeiningum Persónuverndar um samþykki.

Hvaða reglur gilda um markaðssetningu gagnvart börnum?

 

Fyrirtæki og stjórnvöld þurfa að hafa heimild til að vinna persónuupplýsingar. Bein markaðssetning telst almennt til lögmætra hagsmuna og því getur verið heimilt að hafa samband við börn til að bjóða tiltekna vöru eða þjónustu.

Börn eiga hins vegar að njóta sérstakrar verndar þegar persónuupplýsingar þeirra eru notaðar í markaðslegum tilgangi. Fyrirtæki og stjórnvöld eiga ekki að misnota þá staðreynd að börn kunna að vera síður meðvituð um hugsanlegar áhættur eða afleiðingar heldur en fullorðnir.

Þess vegna eiga hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið.

Ef barn eða forráðamaður andmæla  markaðssetningu þarf að fara að þeirri ósk.

Hvaða sjónarmið eiga við um myndbirtingar af börnum á Netinu?

Mikilvægt er að afla samþykkis barna áður en rætt er um þau á samfélagsmiðlum eða birtar af þeim myndir, að teknu tilliti til aldurs þeirra og þroska. Hafa ber í huga að börn kunna að hafa skoðun á umfjöllun um þau eða myndbirtingum af þeim, þrátt fyrir ungan aldur, og taka ber tillit til skoðana þeirra.

Þeir sem annast börn og bera ábyrgð á velferð þeirra eiga að vera meðvitaðir um réttindi barna til persónuverndar. Brýnt er að hafa í huga að allt sem birt er á Netinu má finna síðar og getur haft áhrif á líf barnsins með ýmsum ófyrirséðum hætti. Er því rétt að setja sig í spor barnsins og hugsa um hvaða áhrif umfjöllun eða myndir geta haft á barnið síðar.

Hafa ber í huga að öryggi mynda á Netinu verður aldrei fulltryggt. Sá möguleiki er alltaf fyrir hendi að myndum eða umfjöllun verði dreift, jafnvel af lokuðum síðum. Einnig er áríðandi að upplýsingar um staðsetningu og GPS-hnit fylgi ekki myndum sem deilt er af börnum á samfélagsmiðlum þannig að óviðkomandi aðilum verði ekki kunnugt um staðsetningu þeirra.

Hvaða reglur gilda um vinnslu persónuupplýsinga um börn í skólum?

i.     Hvaða reglur gilda um rétt foreldra til aðgangs að upplýsingum um börn sín?

Foreldrar eiga rétt á aðgangi að upplýsingum um börn sín. Að meginreglu skal birta foreldrum allar upplýsingar sem skráðar eru í rafræn upplýsingakerfi. Réttur foreldra er þó takmarkaður að því marki að þegar sérstaklega stendur á er heimilt að takmarka aðgang að gögnum ef hagsmunir viðkomandi af því að notfæra sér vitneskju úr þeim þykja eiga að víkja fyrir mun ríkari almanna- eða einkahagsmunum.

Foreldri sem ekki fer með forsjá barns á rétt á að fá aðgang að skriflegum gögnum um barnið frá skólum og leikskólum. Það foreldri á einnig rétt á að fá munnlegar upplýsingar um barnið frá öðrum aðilum sem fara með mál þess, svo sem sjúkrahúsum, heilsugæslu- og félagsmálastofnunum, félagsmálanefndum, barnaverndarnefndum og lögreglu. Þó skal vakin athygli á því að í þessu felst ekki réttur til þess að fá upplýsingar um hagi forsjárforeldris. 

ii.     Hvernig mega grunnskólar skrá persónuupplýsingar um nemendur?

Áður persónuupplýsingar um nemendu eru skráðar í rafrænu upplýsingakerfi, t.d. Mentor, verður að gæta þess að heimild sé til að skrá upplýsingarnar, s.s. hvort skráningin sé nauðsynleg til að uppfylla lagaskyldu. 

Auk þess verður öll skráning persónuupplýsinga að samrýmast samrýmast grunnkröfum persónuverndarlaga,  þ. á m. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga; að persónuupplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar; og að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta.

Vakin er athygli á því að við alla vinnslu persónuupplýsinga ber að gæta meðalhófs. Í því felst m.a. að upplýsingar skulu ekki vera aðgengilegar óviðkomandi og mikilvægt er því að stilla aðgangsstýringar með það í huga.

Æskilegt að að skólastjórnendur og aðrir sem vinna með persónuupplýsinga hafi það í huga að grunnskólum er óheimilt að eyða eða breyta upplýsingum sem þegar hafa verið skráðar hjá þeim. Persónuupplýsingar sem skráðar eru um börn munu því fylgja börnum um aldur og ævi.

iii.     Má nota smáforrit í kennslu?

Skólastjórnendur og kennarar þurfa að vera meðvitaðir um að hin ýmsu smáforrit, sem hægt er að nota í kennslu, geta safnað persónuupplýsingum um nemendur á meðan á kennslu stendur. Þess þarf þá að gæta að heimild sé fyrir þeirri vinnslu persónuupplýsinga sem fram fer með notkun smáforritsins. Þá þarf að tryggja að foreldrar séu fræddir um þá vinnslu persónuupplýsinga sem fer fram um börn þeirra og að öryggi persónuupplýsinganna sé tryggt. Einnig þarf að ganga úr skugga um hvort persónuupplýsingar séu fluttar út fyrir Evrópska efnahagssvæðið (til dæmis þegar þær persónuupplýsingar sem forritið safnar eru hýstar hjá fyrirtæki erlendis), en ef svo er þá þarf að ganga úr skugga um að fullnægjandi heimildir séu til flutningsins samkvæmt persónuverndarlögum.

Þá getur að lokum einnig þurft að fara fram mat á áhrifum á persónuvernd (MÁP). Mat á áhrifum á persónuvernd skal fara fram ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér áhættu fyrir réttindi og frelsi einstaklinga, en slíkt mat skal fara fram áður en vinnsla hefst. 


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var fjármögnuð af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei