Samþykki forsjáraðila við vinnslu persónuupplýsinga

eftir Guðmundur Snæbjörnsson

Í 8. gr. almennu persónuverndarreglugerðarinnar (GDPR) kemur fram að vinnsla persónuupplýsinga þegar barni er með beinum hætti boðin þjónusta í upplýsingasamfélaginu ( fjarþjónusta, að jafnaði veitt rafrænt gegn þóknun og samkvæmt beiðni þeirra einstaklinga sem fá þjónustuna, t.d. kaup og sala vöru á netinu) er heimiluð með samþykki barns þegar barnið er a.m.k. 16 ára. Aðildarríkjum er þó heimilt að lækka þann aldur allt að 13 ára, og var það gert við innleiðingu reglugerðarinnar á Íslandi. Áhugavert er að benda á að þó svo að Ísland hafi farið þessa leið, þá eru önnur lönd, líkt og t.d. Þýskaland og Holland sem héldu sig við meginreglu persónuverndarreglugerðarinnar, 16 ára aldur.

Í 5. mgr. 10. gr. persónuverndarlaga kemur þannig fram að umrædd vinnsla er aðeins lögmæt með samþykki ef barnið er orðið 13 ára. Ef barnið er undir þeim aldri þá er vinnslan aðeins lögmæt með heimild forsjáraðila. Rökin að baki er að fyrir þann tíma sé barnið ekki meðvitað um þá áhættu sem fylgir vinnslu persónuupplýsinga og mögulegar afleiðingar hennar, t.d. gætu persónuupplýsingar barna verið notaðar í markaðssetningarskyni.  Meginrök þeirra sem hafa talað fyrir því að hafa aldurinn með lægsta móti, eins og gert var hér á landi, er að þannig sé síður tálmað upplýsingafrelsi barna þó vissulega átti börn sig ekki alltaf á því hvernig hagnýta megi sér umrædd persónugögn.  Einnig má líta til þess að viðmiðunaraldurinn í Bandaríkjunum er 13 ára.

Í 5. mgr. 10. gr. persónuverndarlaga segir jafnframt að ábyrgðaraðili skal gera það sem sanngjarnt má telja til að sannreyna í slíkum tilvikum að samþykkið sé gefið eða heimilað af hálfu forsjáraðila barnsins, að teknu tilliti til þeirrar tækni sem fyrir hendi er. Erfitt er að átta sig fyllilega á því hvað myndi fullnægja slíkum skilyrðum.

Í leiðbeiningum Persónuverndar segir áherslu verði að leggja á að safna eingöngu nauðsynlegum upplýsingum, s.s. tengiliðaupplýsingum foreldris eða forsjáraðila og umfang þeirra upplýsingasöfnunar verði útfrá eðli upplýsinga. Ef hættan er t.d. lítil geti dugað að kalla eftir tölvupóstfangi forsjáraðila til að fá samþykki hans.

Leiðbeiningar Persónuverndar taka þar dæmi um tölvuleik. Þar er fyrst kallað eftir staðfestingu frá spilara að hann sé eldri en 16 ára (leiðbeingar Persónuverndar miða við samþykkisaldur reglugerðarinnar). Í öðru lagi tilkynnir hann barninu um að ábyrgðaraðili tölvuleiks þurfi samþykki forsjáraðila og óskar eftir tölvupóstfangi. Í þriðja lagi hefur ábyrgðaraðili samband við forsjáraðila og gerir einnig eðlilegar ráðstafanir til að tryggja að sá hafi forráð barns. Í fjórða lagi segir að ef ábygðaraðila berst kvörtun skal framkvæma frekari rannsóknir.

Spurning er síðan hvernig túlka eigi hvað teljist „sanngjarnt“ til að sannreyna samþykki forsjáraðila og hvernig túlka megi „að teknu tilliti til þeirrar tækni sem fyrir hendi“ þegar um er að ræða alvarlegri áhættu á söfnun persónuupplýsinga barns. Því er ekki svarað í leiðbeiningum Persónuverndar. Gæti það verið rafrænt með Íslykil (eða sambærilegu forriti)? eða þarf foreldrið að staðfesta með því að eiga í símtali við ábyrgðaraðila? Þess eru sambærileg dæmi t.d. í Bandaríkjunum. Mikið getur hér verið undir þar sem sektarheimildir persónuverndarlaga eru ansi háar.

Þessi heimildarleit getur orðið ansi strembin fyrir margar sakir. Ekki er samþykkisaldur barna alltaf sá sami og óvíst er hvað telst uppfylla samþykkisskilyrðin frá forsjáraðila. Þó eru aðrar leiðir tækar til að vinna gögn sem þarfnast ekki samþykkis og getur verið að ábyrgðaraðilar reyni fremur að styðja vinnslu sína við þær heimildir. Það verður áhugarvert að sjá hvernig þessi mál munu þróast, hver verður úrlausn fyrirtækja og hvernig henni verður tekið í framkvæmd

Guðmundur Snæbjörnsson

Ritstjórn & pistlahöfundur

Guðmundur er í meistaranámi í lögfræði við Háskóla Íslands. Hann er fyrrum hagsmuna- og lánasjóðsfulltrúi Stúdentaráðs. Áður var hann meðstjórnandi í stjórn Vöku fls., og tók þátt í ritstjórn stúdentahreyfingarinnar. Skrif hans í Rómi beinast meðal annars að lögfræðilegum álitaefnum, kvikmyndum og málefnum líðandi stundar.