ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren

Erhvervsudvalget 2021-22
ERU Alm.del
Offentligt

Folketingets Erhvervsudvalg

ERHVERVSMINISTEREN

07. januar 2022

Besvarelse af spørgsmål 108 alm. del stillet af udvalget den 13. decem-

ber 2021 efter ønske fra Karina Lorentzen Dehnhardt (SF).

Spørgsmål:

Idet virksomhederne ikke må høste børns data, når de er under 13 år, bedes

ministeren redegøre for, hvem der har ansvaret for at bevise, om der er børn

eller ej på en platform mod reglerne, og hvordan ministeren forholder sig

til, at virksomhederne skriver sig ud af ansvaret ved at sige, at platformen

ikke er for børn.

Svar:

Jeg har til brug for besvarelsen indhentet et bidrag fra Justitsministeriet.

Justitsministeriet har til brug for bidraget indhentet en udtalelse fra Data-

tilsynet, der har oplyst følgende:

”Databeskyttelsesforordningen

indeholder ikke regler om, at den regi-

strerede skal have en bestemt alder, førend der lovlig kan behandles op-

lysninger om den pågældende.

Databeskyttelsesforordningen har imidlertid et særligt fokus på behand-

ling af oplysninger om børn. F.eks. fremgår det af præambelbetragtning

nr. 38, at:

”Børn bør nyde særlig beskyttelse af deres personoplysnin-

ger, eftersom de ofte er mindre bevidste om de pågældende

risici, konsekvenser og garantier og deres rettigheder for

så vidt angår behandling af personoplysninger. En sådan

særlig beskyttelse bør navnlig gælde for brug af børns per-

sonoplysninger med henblik på markedsføring eller til at

oprette personligheds- eller brugerprofiler og indsamling

af personoplysninger vedrørende børn, når de anvender

tjenester, der tilbydes direkte til et barn. Samtykke fra in-

dehaveren af forældremyndigheden er ikke nødvendigt,

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af

fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger og om ophævelse af direktiv 95/46 EF (generel forordning om databeskyttelse)

ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren

2/5

når det drejer sig om forebyggende eller rådgivende tjene-

ster, der tilbydes direkte til et barn.”

Endvidere fremgår af præambelbetragtning nr. 58 om princippet om

gennemsigtighed, at:

”Princippet om gennemsigtighed kræver, at enhver op-

lysning, som er rettet til offentligheden eller den regi-

strerede, er kortfattet, lettilgængelig og letforståelig, og

at der benyttes et klart og enkelt sprog og endvidere,

hvis det er passende, visualisering. Sådanne oplysnin-

ger kan gøres tilgængelige i elektronisk form, f.eks. når

de er rettet mod offentligheden, via et websted. Dette er

især relevant i situationer, hvor den hastige vækst i an-

tallet af aktører og den anvendte teknologis kompleksi-

tet gør det vanskeligt for den registrerede at vide og for-

stå, om, af hvem og til hvilket formål der indsamles per-

sonoplysninger om vedkommende, såsom i forbindelse

med annoncering på internettet. Eftersom børn bør nyde

særlig beskyttelse, bør alle oplysninger og meddelelser,

hvis behandling er rettet mod et barn, være i et så klart

og enkelt sprog, at et barn let kan forstå dem [Datatilsy-

nets understregning].”

Behandling af oplysninger om børn skal

–

som ved behandling af oplys-

ninger om andre registrerede

–

have et behandlingsgrundlag. Dette vil

typisk være databeskyttelsesforordningens artikel 6, stk. 1, litra a-f,

hvoraf det følger, at behandling er lovlig, hvis:

a) Den registrerede har givet samtykke til behandling af

sine personoplysninger til et eller flere specifikke for-

mål.

b) Behandling er nødvendig af hensyn til opfyldelse af

en kontrakt, som den registrerede er part i, eller af hen-

syn til gennemførelse af foranstaltninger, der træffes på

den registreredes anmodning forud for indgåelse af en

kontrakt.

c) Behandling er nødvendig for at overholde en retlig

forpligtelse, som påhviler den dataansvarlige.

d) Behandling er nødvendig for at beskytte den registre-

redes eller en anden fysisk persons vitale interesser.

ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren

3/5

e) Behandling er nødvendig af hensyn til udførelse af

en opgave i samfundets interesse eller som henhører un-

der offentlig myndighedsudøvelse, som den dataansvar-

lige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige

eller en tredjemand kan forfølge en legitim interesse,

medmindre den registreredes interesser eller grundlæg-

gende rettigheder og frihedsrettigheder, der kræver be-

skyttelse af personoplysninger, går forud herfor, navn-

lig hvis den registrerede er et barn.

Som det fremgår, kan et lovligt behandlingsgrundlag eksempelvis være

samtykke. Ved et samtykke forstås i henhold til databeskyttelsesforord-

ningens artikel 4, nr. 11, enhver frivillig, specifik, informeret og utvety-

dig viljestilkendegivelse fra den registrerede, hvorved den registrerede

ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger,

der vedrører den pågældende, gøres til genstand for behandling.

Betingelserne for et barns samtykke i forbindelse med informationssam-

fundstjenester fremgår af databeskyttelsesforordningens artikel 8. Det

følger heraf:

”1. Hvis artikel 6, stk. 1, litra a), finder anvendelse i for-

bindelse med udbud af informationssamfundstjenester

direkte til børn, er behandling af personoplysninger om

et barn lovlig, hvis barnet er mindst 16 år. Er barnet un-

der 16 år, er sådan behandling kun lovlig, hvis og i det

omfang samtykke gives eller godkendes af indehaveren

af forældremyndigheden over barnet. Medlemsstaterne

kan ved lov fastsætte en lavere aldersgrænse til disse

formål, forudsat at en sådan aldersgrænse ikke er under

13 år.

2. Under hensyntagen til den tilgængelige teknologi

skal den dataansvarlige gøre sig rimelige bestræbelser

på i sådanne tilfælde at kontrollere, at indehaveren af

forældremyndigheden over barnet har givet eller god-

kendt samtykket…”

ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren

4/5

I Danmark har man i databeskyttelseslovens2 § 6, stk. 2, besluttet, at

børn på 13 år og opefter, kan samtykke til behandling af personoplys-

ninger i forbindelse med udbud af informationssamfundstjenester (ek-

sempelvis e-handel, online spil og sociale medier).

Om et barn

–

i andre situationer end i forbindelse med informationssam-

fundstjenester

–

selv kan give samtykke, afhænger af en konkret moden-

hedsvurdering.

Den dataansvarlige skal derfor konkret vurdere, om barnet har tilstræk-

kelig modenhed og forståelse til selv at give samtykke. Normalt vil et

barn på 15 år være tilstrækkelig moden til at kunne give samtykke på

egne vegne. Hvis den dataansvarlige vurderer, at barnet ikke har den

tilstrækkelige modenhed, bør samtykket i stedet indhentes fra forældre-

myndighedsindehaveren.

Udbydere af informationssamfundstjenester direkte til børn skal sikre

beskyttelse ved at indbygge mekanismer, så børn under den fastsatte al-

dersgrænse udelukkes fra at give samtykke i forbindelse med f.eks. op-

rettelse af en profil. Kontrol af brugerens alder eller samtykke fra inde-

haveren af forældremyndigheden bør ske under inddragelse af de risici,

der er forbundet med behandlingen og den tilgængelige teknologi.

Er barnet under den fastsatte aldersgrænse, skal udbyderen af tjenesten

ud fra den tilgængelige teknologi, gøre sig rimelige anstrengelser for at

kontrollere, at forældremyndighedsindehaveren har givet sit samtykke.

Behandling af børns oplysninger er i øvrigt et fokusområde for Datatil-

synet. Tilsynet har bl.a. lanceret en underside på Datatilsynets hjemme-

side særligt rettet mod børn og unge og er blevet ’rapporteur’ i en nedsat

arbejdsgruppe i Det Europæiske Databeskyttelsesråd (EDPB). Det bety-

der, at det danske tilsyn får en aktiv rolle i det internationale samarbejde

omkring udarbejdelsen af en vejledning om behandling af børns person-

oplysninger, som det er Datatilsynets forhåbning vil bidrage til at løse

nogle af de udfordringer, som der henvises til i de stillede spørgsmål.”

I tillæg til Datatilsynets udtalelse vil jeg blot tilføje, at det i min optik er

både utilstrækkeligt og uansvarligt, hvis virksomheder fraskriver sig deres

ansvar ved alene at angive, at platformen ikke er for børn under 13 år. Jeg

vil derfor bede regeringens tværministerielle taskforce om at se på området

for at muligheden for evt. at skærpe kravene til de relevante virksomheder.

Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys-

ninger (databeskyttelsesloven)

ERU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 122: MFU spm., om ministeren vil arbejde for, at noget tilsvarende bliver indført i Danmark , til erhvervsministeren

5/5

Med venlig hilsen

Simon Kollerup