Erhvervsudvalget 2021-22
ERU Alm.del
Offentligt
2510012_0001.png
Folketingets Erhvervsudvalg
ERHVERVSMINISTEREN
07. januar 2022
Besvarelse af spørgsmål 108 alm. del stillet af udvalget den 13. decem-
ber 2021 efter ønske fra Karina Lorentzen Dehnhardt (SF).
Spørgsmål:
Idet virksomhederne ikke må høste børns data, når de er under 13 år, bedes
ministeren redegøre for, hvem der har ansvaret for at bevise, om der er børn
eller ej på en platform mod reglerne, og hvordan ministeren forholder sig
til, at virksomhederne skriver sig ud af ansvaret ved at sige, at platformen
ikke er for børn.
Svar:
Jeg har til brug for besvarelsen indhentet et bidrag fra Justitsministeriet.
Justitsministeriet har til brug for bidraget indhentet en udtalelse fra Data-
tilsynet, der har oplyst følgende:
”Databeskyttelsesforordningen
1
indeholder ikke regler om, at den regi-
strerede skal have en bestemt alder, førend der lovlig kan behandles op-
lysninger om den pågældende.
Databeskyttelsesforordningen har imidlertid et særligt fokus på behand-
ling af oplysninger om børn. F.eks. fremgår det af præambelbetragtning
nr. 38, at:
”Børn bør nyde særlig beskyttelse af deres personoplysnin-
ger, eftersom de ofte er mindre bevidste om de pågældende
risici, konsekvenser og garantier og deres rettigheder for
så vidt angår behandling af personoplysninger. En sådan
særlig beskyttelse bør navnlig gælde for brug af børns per-
sonoplysninger med henblik på markedsføring eller til at
oprette personligheds- eller brugerprofiler og indsamling
af personoplysninger vedrørende børn, når de anvender
tjenester, der tilbydes direkte til et barn. Samtykke fra in-
dehaveren af forældremyndigheden er ikke nødvendigt,
1
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46 EF (generel forordning om databeskyttelse)
ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren
2510012_0002.png
2/5
når det drejer sig om forebyggende eller rådgivende tjene-
ster, der tilbydes direkte til et barn.”
Endvidere fremgår af præambelbetragtning nr. 58 om princippet om
gennemsigtighed, at:
”Princippet om gennemsigtighed kræver, at enhver op-
lysning, som er rettet til offentligheden eller den regi-
strerede, er kortfattet, lettilgængelig og letforståelig, og
at der benyttes et klart og enkelt sprog og endvidere,
hvis det er passende, visualisering. Sådanne oplysnin-
ger kan gøres tilgængelige i elektronisk form, f.eks. når
de er rettet mod offentligheden, via et websted. Dette er
især relevant i situationer, hvor den hastige vækst i an-
tallet af aktører og den anvendte teknologis kompleksi-
tet gør det vanskeligt for den registrerede at vide og for-
stå, om, af hvem og til hvilket formål der indsamles per-
sonoplysninger om vedkommende, såsom i forbindelse
med annoncering på internettet. Eftersom børn bør nyde
særlig beskyttelse, bør alle oplysninger og meddelelser,
hvis behandling er rettet mod et barn, være i et så klart
og enkelt sprog, at et barn let kan forstå dem [Datatilsy-
nets understregning].”
Behandling af oplysninger om børn skal
som ved behandling af oplys-
ninger om andre registrerede
have et behandlingsgrundlag. Dette vil
typisk være databeskyttelsesforordningens artikel 6, stk. 1, litra a-f,
hvoraf det følger, at behandling er lovlig, hvis:
a) Den registrerede har givet samtykke til behandling af
sine personoplysninger til et eller flere specifikke for-
mål.
b) Behandling er nødvendig af hensyn til opfyldelse af
en kontrakt, som den registrerede er part i, eller af hen-
syn til gennemførelse af foranstaltninger, der træffes på
den registreredes anmodning forud for indgåelse af en
kontrakt.
c) Behandling er nødvendig for at overholde en retlig
forpligtelse, som påhviler den dataansvarlige.
d) Behandling er nødvendig for at beskytte den registre-
redes eller en anden fysisk persons vitale interesser.
ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren
3/5
e) Behandling er nødvendig af hensyn til udførelse af
en opgave i samfundets interesse eller som henhører un-
der offentlig myndighedsudøvelse, som den dataansvar-
lige har fået pålagt.
f) Behandling er nødvendig for, at den dataansvarlige
eller en tredjemand kan forfølge en legitim interesse,
medmindre den registreredes interesser eller grundlæg-
gende rettigheder og frihedsrettigheder, der kræver be-
skyttelse af personoplysninger, går forud herfor, navn-
lig hvis den registrerede er et barn.
Som det fremgår, kan et lovligt behandlingsgrundlag eksempelvis være
samtykke. Ved et samtykke forstås i henhold til databeskyttelsesforord-
ningens artikel 4, nr. 11, enhver frivillig, specifik, informeret og utvety-
dig viljestilkendegivelse fra den registrerede, hvorved den registrerede
ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger,
der vedrører den pågældende, gøres til genstand for behandling.
Betingelserne for et barns samtykke i forbindelse med informationssam-
fundstjenester fremgår af databeskyttelsesforordningens artikel 8. Det
følger heraf:
”1. Hvis artikel 6, stk. 1, litra a), finder anvendelse i for-
bindelse med udbud af informationssamfundstjenester
direkte til børn, er behandling af personoplysninger om
et barn lovlig, hvis barnet er mindst 16 år. Er barnet un-
der 16 år, er sådan behandling kun lovlig, hvis og i det
omfang samtykke gives eller godkendes af indehaveren
af forældremyndigheden over barnet. Medlemsstaterne
kan ved lov fastsætte en lavere aldersgrænse til disse
formål, forudsat at en sådan aldersgrænse ikke er under
13 år.
2. Under hensyntagen til den tilgængelige teknologi
skal den dataansvarlige gøre sig rimelige bestræbelser
på i sådanne tilfælde at kontrollere, at indehaveren af
forældremyndigheden over barnet har givet eller god-
kendt samtykket…”
ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren
2510012_0004.png
4/5
I Danmark har man i databeskyttelseslovens2 § 6, stk. 2, besluttet, at
børn på 13 år og opefter, kan samtykke til behandling af personoplys-
ninger i forbindelse med udbud af informationssamfundstjenester (ek-
sempelvis e-handel, online spil og sociale medier).
Om et barn
i andre situationer end i forbindelse med informationssam-
fundstjenester
selv kan give samtykke, afhænger af en konkret moden-
hedsvurdering.
Den dataansvarlige skal derfor konkret vurdere, om barnet har tilstræk-
kelig modenhed og forståelse til selv at give samtykke. Normalt vil et
barn på 15 år være tilstrækkelig moden til at kunne give samtykke på
egne vegne. Hvis den dataansvarlige vurderer, at barnet ikke har den
tilstrækkelige modenhed, bør samtykket i stedet indhentes fra forældre-
myndighedsindehaveren.
Udbydere af informationssamfundstjenester direkte til børn skal sikre
beskyttelse ved at indbygge mekanismer, så børn under den fastsatte al-
dersgrænse udelukkes fra at give samtykke i forbindelse med f.eks. op-
rettelse af en profil. Kontrol af brugerens alder eller samtykke fra inde-
haveren af forældremyndigheden bør ske under inddragelse af de risici,
der er forbundet med behandlingen og den tilgængelige teknologi.
Er barnet under den fastsatte aldersgrænse, skal udbyderen af tjenesten
ud fra den tilgængelige teknologi, gøre sig rimelige anstrengelser for at
kontrollere, at forældremyndighedsindehaveren har givet sit samtykke.
Behandling af børns oplysninger er i øvrigt et fokusområde for Datatil-
synet. Tilsynet har bl.a. lanceret en underside på Datatilsynets hjemme-
side særligt rettet mod børn og unge og er blevet ’rapporteur’ i en nedsat
arbejdsgruppe i Det Europæiske Databeskyttelsesråd (EDPB). Det bety-
der, at det danske tilsyn får en aktiv rolle i det internationale samarbejde
omkring udarbejdelsen af en vejledning om behandling af børns person-
oplysninger, som det er Datatilsynets forhåbning vil bidrage til at løse
nogle af de udfordringer, som der henvises til i de stillede spørgsmål.”
I tillæg til Datatilsynets udtalelse vil jeg blot tilføje, at det i min optik er
både utilstrækkeligt og uansvarligt, hvis virksomheder fraskriver sig deres
ansvar ved alene at angive, at platformen ikke er for børn under 13 år. Jeg
vil derfor bede regeringens tværministerielle taskforce om at se på området
for at muligheden for evt. at skærpe kravene til de relevante virksomheder.
2
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys-
ninger (databeskyttelsesloven)
ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren
5/5
Med venlig hilsen
Simon Kollerup