Personuppgifter om barn

2018-11-22 i PUL/GDPR
FRÅGA
Företaget Freemovr i Norrköping begär att alla barn som ska var med på ett barnkalas där i nästa vecka ska uppge sina fullständiga personuppgifter.Har de laglig rätt att göra det?
SVAR

Tack för att du vänder dig till Lawline med din fråga!

Din fråga handlar om behandling av personuppgifter som regleras i Europeiska unionens dataskyddsförordning (GDPR). Ett av syftena med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter (art. 4 p.1 GDPR). Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.

All behandling av personuppgifter måste uppfylla kraven som ställs i dataskyddsförordningen. Företaget Freemovr blir i det här fallet personuppgiftsansvarig och måste ha stöd i dataskyddsförordningen för att få behandla barnens personuppgifter. Företaget får endast samla in personuppgifter för specifika, särskilt angivna mål. Dessutom ska Freemovr skydda uppgifterna och inte behandla fler personuppgifter än vad som behövs i ändamålen (art. 5 GDPR).

Ändamålet för behandlingen av barnens personuppgifter är själva barnkalaset. Freemovr vill i detta fall behandla fler personuppgifter än vad som behövs för barnkalaset. Till fullständiga personuppgifter räknas bl.a. namn, adress och personnummer. Barnen behöver inte uppge sina personnummer för att vara med på barnkalaset. Barnens namn och föräldrarnas telefon för kontakt är tillräcklig information för att genomföra ett barnkalas. Företaget har alltså inte uppfyllt kravet på behandling av personuppgifter som ställs i dataskyddsförordningen.

Det bör tilläggas att Freemovr måste ha en rättslig grund, för att kunna behandla personuppgifter om barn (art. 6 GDPR). Samtycke som rättslig grund aktualiseras i det här fallet. Personuppgifter får hanteras om personen i fråga har samtyckt till det. Samtycket måste vara frivilligt, avse just det särskilda syfte som uppgifterna samlas in för och det får inte råda någon tvekan om att personen samtycker till att uppgifterna behandlas. Den som samtycker måste också först ha fått sådan information om behandlingen att man förstår vad det är man samtycker till. När det gäller barn måste man vara extra vaksam på att barnet har förmåga att förstå och samtycka till behandlingen.

Om man erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige (art. 8 GDPR).

Åldersgränsen gäller uttryckligen för onlinetjänster. I andra situationer finns det ingen särskilt angiven åldersgräns men det krävs förstås alltid att barnet har förmåga att förstå vad det samtycker till för att samtycket ska vara giltigt. När det gäller barn under 13 år bör alltid vårdnadshavarens samtycke inhämtas.

Företaget Freemovr kan samla in och behandla på olika sätt barnens personuppgifter endast om det hämtar ett frivilligt och uttryckligt samtycke från föräldrarna eller från barnen (om barnet är över 13 år). Dessutom har barnen rätt att t.ex. få information om personuppgiftsbehandlingen, att få tillgång till sina uppgifter, att få uppgifter rättade eller borttagna och att få skadestånd vid felaktig behandling (art. 12-22 GDPR). Dessa rättigheter kan göras gällande av barnet självt eller av en vårdnadshavare beroende på barnets ålder.

Sammanfattningsvis kan sägas att Freemovr kan begära barnens personuppgifter för barnkalas:

- om företaget endast samlar in personuppgifter med syfte att genomföra ett barnkalas.

- om företaget inte behandlar fler personuppgifter än vad som behövs för kalaset. Personnummer utgör en extra skyddsvärd personuppgift och bör exponeras så lite som möjligt. Tillräckliga personuppgifter för barnkalas kan vara barnets namn och föräldrarnas telefonnummer.

- om företaget skyddar personuppgifterna så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs.

- om företaget hämtar frivilligt och uttryckligt samtycke från föräldrarna eller från barnen.

- om företaget ger fullständig och tydlig information om personuppgiftsbehandlingen.

Jag hoppas att du har fått svar på din fråga!

Med vänliga hälsningar

Galina Krasteva
Fick du svar på din fråga?