Allar spurningar og svör

Börn og persónuvernd

Persónuupplýsingar barna njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu persónuupplýsinga.

Myndbirtingar af börnum á samfélagsmiðlum

Í lögum og reglum er ekki að finna sérstök ákvæði um birtingu ljósmynda og myndbanda á Netinu. Almenna reglan er að ef hægt er að greina einstakling á mynd eða í myndbandi þarf að fara að persónuverndarlögunum. Börn kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu persónuupplýsinga þeirra. Því njóta persónuupplýsingar barna sérstakrar verndar og taka þarf sérstakt tillit til þeirra þegar unnið er með upplýsingar um þau. 

Persónuvernd hefur gefið út tilmæli og leiðbeiningar til þeirra sem vinna með persónuupplýsingar barna að miðla þeim ekki á samfélagsmiðlum, svo sem Facebook.

Tilmæli vegna notkunar samfélagsmiðla í skóla- og frístundastarfi.

Leiðbeiningar til íþróttafélaga, tómstunda- og æskulýðsfélaga og annarra aðila sem starfa með börnum

Spurðu áður en þú sendir.

Hvað þarf að hafa í huga varðandi börn og persónuvernd þeirra?

Börn eiga rétt á friðhelgi einkalífs rétt eins og fullorðnir. Persónuupplýsingar barna eiga að njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnsluna. Er þetta sérstaklega áréttað í formálsorðum persónuverndarreglugerðarinnar.

Ef unnið er með persónuupplýsingar um börn, t.d. með því að birta myndir af þeim í auglýsingum, er því mikilvægt að hugað sé að vernd þeirra. Þá skiptir miklu máli að fylgja ávallt meginreglum persónuverndarlaganna, og skal sanngirni til dæmis höfð að leiðarljósi við alla vinnslu.

Eru nýmæli í nýrri persónuverndarlöggjöf varðandi persónuvernd barna?

Já, þar er börnum veitt sérstök vernd þar sem afla þarf samþykkis foreldra eða forráðamanna áður en börn undir 13 ára aldri skrá sig í þjónustu í upplýsingasamfélaginu. Börn yfir 13 ára aldri þurfa hins vegar ekki samþykki forráðamanna.

Þá ættu hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið.

Einnig má nefna að réttur til eyðingar persónuupplýsinga kann að vera sérstaklega mikilvægur í þeim tilvikum þegar einstaklingur var barn þegar hann gaf samþykki sitt fyrir vinnslunni.

Við hvaða heimild má styðja vinnslu persónuupplýsinga um börn?

Öll vinnsla persónuupplýsinga þarf að styðjast við heimild í persónuverndarlögum. Meðal þeirra heimilda, sem þar eru taldar upp, eru samþykki, nauðsyn vegna framkvæmdar samnings, og lögmætir hagsmunir. 

Þegar vinnsla persónuupplýsinga styðst við samþykki þarf að vera skýrt að barnið skilji hvað það er að samþykkja.

Þegar vinnslan styðst við nauðsyn vegna framkvæmdar samnings þarf að huga að getu barnsins til að skilja hvað efni samningsins felur í sér. Skiptir þar aldur barnsins einnig máli.

Þegar stuðst er við lögmæta hagsmuni þarf ábyrgðaraðilinn (sá sem vinnur með upplýsingarnar) að meta áhættu og afleiðingar vinnslunnar og að gera viðeigandi ráðstafanir með tilliti til aldurs barnsins.

Hvaða reglur gilda um samþykki?

Þegar barnið hefur náð 13 ára aldri má það samþykkja sjálft að fá þjónustu í upplýsingasamfélaginu. Sé barnið undir 13 ára aldri þarf forsjáraðili þess að heimila að barninu sé veitt þessi þjónusta. 

Samþykki forsjáraðila er þó ekki nauðsynlegt þegar um er að ræða forvarnar- eða ráðgjafarþjónustu sem barni er boðin beint.

Með þjónustu í upplýsingasamfélaginu er átt við samninga og aðra þjónustu sem veitt er á Netinu. Ef um er að ræða tvær aðgerðir, svo sem kaup og sölu á Netinu annars vegar og afhendingu vörunnar hins vegar, myndi sú fyrrnefnda teljast til þjónustu í upplýsingasamfélaginu en ekki sú síðarnefnda. Þá verður þjónustan að vera boðin með beinum hætti. Í því felst að ef börn undir 18 ára aldri eru undanskilin frá þjónustunni, t.d. með efni síðunnar eða markaðssetningu, verður ekki talið að þjónustan sé boðin barni með beinum hætti.

Ábyrgðaraðili, þ.e. sá sem ber ábyrgð á vinnslu persónuupplýsinganna, verður að grípa til eðlilegra ráðstafana til að ganga úr skugga um að notandi hafi náð lágmarksaldri samkvæmt lögum til að geta veitt samþykki sitt. Þær ráðstafanir skulu taka mið af eðli þeirra persónuupplýsinga sem er safnað og umfangi vinnslunnar. Athygli er vakin á því að ef vinnsla persónuupplýsinga fer fram á grundvelli samþykkis barns, sem ekki hefur náð 13 ára aldri, er ekki um að ræða fullnægjandi vinnsluheimild.

Ekki eru sérstakar reglur í lögum um hvernig eigi að afla samþykkis eða staðfestingar frá forsjáraðila. Mælt er með því að leggja áherslu á að safna eingöngu nauðsynlegum upplýsingum, s.s. tengiliðaupplýsingum foreldris eða forsjáraðila. Þá þarf einnig að meta umfang upplýsingasöfnunarinnar út frá eðli þeirra persónuupplýsinga sem unnið er með og umfangi vinnslunnar. Ef áhættan er lítil getur verið fullnægjandi að óska eftir tölvupóstfangi hjá forsjáraðila til að afla samþykkis hans. 

Samþykki forsjáraðila rennur út þegar barnið, sem um ræðir, nær 13 ára aldri, en þá þarf að afla samþykkis þess fyrir vinnslunni.

Nánari umfjöllun um samþykki.

Hvaða reglur gilda um markaðssetningu gagnvart börnum?

Fyrirtæki og stjórnvöld þurfa að hafa heimild til að vinna persónuupplýsingar. Bein markaðssetning getur talist til lögmætra hagsmuna og því getur verið heimilt að hafa samband við börn til að bjóða tiltekna vöru eða þjónustu.

Börn eiga hins vegar að njóta sérstakrar verndar þegar persónuupplýsingar þeirra eru notaðar í viðskiptalegum tilgangi. Fyrirtæki og stjórnvöld eiga ekki að misnota þá staðreynd að börn kunna að vera síður meðvituð um hugsanlegar áhættur eða afleiðingar heldur en fullorðnir.

Þess vegna eiga hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið.

Ef barn eða forráðamaður andmæla markaðssetningu þarf að fara að þeirri ósk.

Hvaða sjónarmið eiga við um myndbirtingar af börnum á Netinu?

Mikilvægt er að afla samþykkis barna áður en rætt er um þau á samfélagsmiðlum eða birtar af þeim myndir, að teknu tilliti til aldurs þeirra og þroska. Hafa ber í huga að börn kunna að hafa skoðun á umfjöllun um þau eða myndbirtingum af þeim, þrátt fyrir ungan aldur, og taka ber tillit til skoðana þeirra.

Þeir sem annast börn og bera ábyrgð á velferð þeirra eiga að vera meðvitaðir um réttindi barna til persónuverndar. Brýnt er að hafa í huga að allt sem birt er á Netinu má finna síðar og getur haft áhrif á líf barnsins með ýmsum ófyrirséðum hætti. Er því rétt að setja sig í spor barnsins og hugsa um hvaða áhrif umfjöllun eða myndir geta haft á barnið síðar.

Hafa ber í huga að öryggi mynda á Netinu verður aldrei fulltryggt. Sá möguleiki er alltaf fyrir hendi að myndum eða umfjöllun verði dreift, jafnvel af lokuðum síðum. Einnig er áríðandi að upplýsingar um staðsetningu og GPS-hnit fylgi ekki myndum sem deilt er af börnum á samfélagsmiðlum þannig að óviðkomandi aðilum verði ekki kunnugt um staðsetningu þeirra.

Hvaða reglur gilda um vinnslu persónuupplýsinga um börn í skólum?

i.     Hvaða reglur gilda um rétt foreldra til aðgangs að upplýsingum um börn sín?

Foreldrar eiga rétt á aðgangi að upplýsingum um börn sín. Að meginreglu skal birta foreldrum allar upplýsingar sem skráðar eru í rafræn upplýsingakerfi. Réttur foreldra er þó takmarkaður að því marki að þegar sérstaklega stendur á er heimilt að takmarka aðgang að gögnum ef hagsmunir viðkomandi af því að notfæra sér vitneskju úr þeim þykja eiga að víkja fyrir mun ríkari almanna- eða einkahagsmunum.

Foreldri sem ekki fer með forsjá barns á rétt á að fá aðgang að skriflegum gögnum um barnið frá skólum og leikskólum. Það foreldri á einnig rétt á að fá munnlegar upplýsingar um barnið frá öðrum aðilum sem fara með mál þess, svo sem sjúkrahúsum, heilsugæslu- og félagsmálastofnunum, félagsmálanefndum, barnaverndarnefndum og lögreglu. Þó skal vakin athygli á því að í þessu felst ekki réttur til þess að fá upplýsingar um hagi forsjárforeldris.

ii.     Hvernig mega grunnskólar skrá persónuupplýsingar um nemendur?

Áður en persónuupplýsingar um nemendur eru skráðar í rafræn upplýsingakerfi, t.d. Mentor, verður að gæta þess að heimild sé til að skrá upplýsingarnar, s.s. hvort skráningin sé nauðsynleg til að uppfylla lagaskyldu.
Auk þess verður öll skráning persónuupplýsinga að samrýmast grunnkröfum persónuverndarlaga, þ. á m.: 

 

  1. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga;
  2. að persónuupplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi;
  3. að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar; og
  4. að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta.

Vakin er athygli á því að við alla vinnslu persónuupplýsinga ber að gæta meðalhófs. Í því felst m.a. að upplýsingar skulu ekki vera aðgengilegar óviðkomandi og mikilvægt er því að stilla aðgangsstýringar með það í huga.
Æskilegt er að skólastjórnendur og aðrir sem vinna með persónuupplýsinga hafi það í huga að grunnskólum er óheimilt að eyða eða breyta upplýsingum sem þegar hafa verið skráðar hjá þeim. Persónuupplýsingar sem skráðar eru um börn munu því fylgja börnum um aldur og ævi.

 

iii.     Má nota smáforrit í kennslu?

Skólastjórnendur og kennarar þurfa að vera meðvitaðir um að hin ýmsu smáforrit, sem hægt er að nota í kennslu, geta safnað persónuupplýsingum um nemendur á meðan á kennslu stendur. Þarf þá að gæta þess að heimild sé fyrir þeirri vinnslu sem fram fer með notkun smáforritsins. Þá þarf að tryggja að foreldrar séu fræddir um þá vinnslu persónuupplýsinga sem fer fram um börn þeirra og að öryggi þeirra upplýsinganna sé tryggt. Einnig þarf að ganga úr skugga um hvort persónuupplýsingar séu fluttar út fyrir Evrópska efnahagssvæðið (til dæmis þegar þær persónuupplýsingar sem forritið safnar eru hýstar hjá fyrirtæki erlendis). Ef svo er þarf að ganga úr skugga um að fullnægjandi heimildir séu til flutningsins samkvæmt persónuverndarlögum.

Þá getur að lokum einnig þurft að fara fram mat á áhrifum á persónuvernd (MÁP). Mat á áhrifum á persónuvernd skal fara fram ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér áhættu fyrir réttindi og frelsi einstaklinga, en slíkt mat skal fara fram áður en vinnsla hefst.

Bæklingar og meiri fræðsla um persónuvernd barna

Leiðbeiningar fyrir foreldra um Netið, samfélagsmiðla og persónuvernd

Leiðbeiningar fyrir starfsfólk skóla-, frístunda-, íþrótta- og tómstundastarfs barna

Leiðbeiningar fyrir ábyrgðaraðila um vernd barna í stafrænu umhverfi

Spurðu áður en þú sendir! - Fræðsla fyrir börn 8-12 ára

Persónuvernd barna - Upplýsingar til foreldra, forráðamanna og þeirra sem vinna með börnum

Hver eru þín einkamál? - Til umhugsunar fyrir 13-17 ára

Tilmæli Persónuverndar til leikskóla, grunnskóla, frístundaheimila og íþróttafélaga um notkun á samfélagsmiðlum

Ábending frá Persónuvernd vegna misskilnings í skólasamfélaginu um gildissvið nýrra persónuverndarlaga

Leiðbeiningar til íþróttafélaga, tómstunda- og æskulýðsfélaga og annarra aðila sem starfa með börnum

Leiðbeiningar um innleiðingu upplýsingatæknikerfa til að vinna með persónuupplýsingar barna

Persónuvernd hefur gefið út leiðbeiningar um innleiðingu upplýsingatæknikerfa.

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei