GDPR förbjuder inte unga att använda sociala medier

Barn bör inte kunna samtycka till att bli kartlagda. Därför införs den så kallade åldersgränsen för sociala medier. Men det är en regel som har blivit missförstådd, skriver Fredrik Svärd och Caroline Olstedt Carlström på Forum för dataskydd.

Bristfällig rapportering om dataskyddsförordningen (GDPR) leder till onödig oro och missriktad kritik. En del av de missförstånd som cirkulerar rör den så kallade åldersgränsen (se Dagens Nyheter 19 februari).

Någon åldersgräns som tar sikte på barns eller ungas användning av internet eller sociala medier finns inte i GDPR. Det gör det däremot i amerikansk rätt, vilket förklarar varför Facebook, YouTube och Snapchat m fl har åldersgränser inskrivna i användarvillkoren. Den kommande åldersgränsen handlar inte om användning av tjänster i sig utan om företags möjligheter att inhämta samtycke till behandling av barns personuppgifter – annorlunda uttryckt till exempelvis kartläggning av vanor, fysisk lokalisering och riktad marknadsföring.

Behandling är tillåten om samtycke lämnats. Det finns andra lagliga grunder för behandling av personuppgifter, men låt oss för enkelhetens skull stanna vid denna. När det gäller barn som inte uppnått en viss ålder måste samtycket lämnas av vårdnadshavare. Sannolikt hade det varit svårt att inhämta giltiga samtycken från yngre barn helt oavsett regeln eftersom förordningen ställer krav på att information ska vara begriplig – det finns gränser för vad 0-12-åringar kan ta till sig. Datainspektionen har bedömt att det är svårt att få giltig samtycke från barn under 15 år. Den föreslagna gränsen vid 13 år skulle alltså i praktiken innebära en sänkning av kraven.

Företag ska göra ”rimliga ansträngningar” för att kontrollera att samtycke lämnats av rätt person. Det framgår inte av förordningen hur detta ska gå till, men eftersom företag som inte följer regelverket riskerar sanktioner är det tänkbart att de börjar använda mer avancerad metoder än formulär där användaren själv anger identitet, ålder och andra uppgifter.

Syftet med regeln är inte, som det ibland påstås, att skydda unga mot faror på nätet i allmänhet utan mot att företag behandlar data på sätt de registrerade inte tänkt sig eller haft svårt att förutse. Vid utarbetandet av förordningen har lagstiftaren stått inför en svår gränsdragning. Barn har rätt att söka, ta del av och sprida information och tankar, och det kan finnas situationer då barn av olika anledningar inte vill tillfråga vårdnadshavare. Eller använda sig av dessa rättigheter mot vårdnadshavares vilja.

I andra vågskålen finns rätten till skydd för privatlivet. Lagstiftaren har bedömt att barn är mindre medvetna om riskerna med personuppgiftsbehandling än vuxna och att de därför behöver ett särskilt skydd. EU överlåter åt medlemsstaterna att sätta gränsen för när barn ska kunna lämna samtycke till behandling. I den proposition som nu överlämnats till riksdagen föreslås att gränsen ska gå vid den lägsta åldern förordningen tillåter – 13 år.

Regeln är inte okontroversiell, men det rör sig alltså inte om ett förbud mot användning. Det är företag som behandlar data på otillåtna sätt riskerar sanktioner, inte användarna. Indirekt begränsas barns möjligheter att använda tjänster eftersom personuppgiftsbehandling som regel är en förutsättning för användning, eller åtminstone för tillgång till samtliga funktioner. Som bestämmelsen är utformad kan barn som inte kan registrera konton hos plattformar fortfarande ta del av innehåll, om än i begränsad utsträckning. Kravet på godkännande av vårdnadshavare gäller dessutom inte ”förebyggande eller rådgivande” tjänster. Utöver detta hoppas vi att nätplattformarna nu i möjligaste mån gör tjänster tillgängliga även för barn som inte kan lämna samtycke.

Förordningen har lett till debatt om allt från skärmtid till hur barn bör skyddas mot mobbning och näthat – viktiga frågor, men det är alltså inte dessa förordningen handlar om. Konsekvenserna är heller inte så långtgående som formuleringar i stil med ”åldersgräns för internet” låter påskina. Att unga inte har samma rättshandlingsförmåga som vuxna är heller inget nytt, enligt svensk rätt har de exempelvis begränsade möjligheter att ingå avtal och att förfoga över tillgångar. Det finns anledningar till att det förhåller sig så, och det finns goda skäl att inte låta företag inhämta samtycken till kartläggning av och marknadsföring till barn – av barn.

Fredrik Svärd, generalsekreterare Forum för dataskydd
Caroline Olstedt Carlström, ordförande Forum för dataskydd
www.dpforum.se