Udvalget for Digitalisering og It 2023-24
DIU Alm.del
Offentligt
2873347_0001.png
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
22. maj 2024
Databeskyttelseskontoret
Katrine
Hjortnæs
Haugegaard
2024-05091
3243021
UDKAST TIL TALE
Til brug for besvarelsen af samrådsspørgsmål H
fra Folketingets Udvalg for Digitalisering og It
Samrådsspørgsmål H
Vil ministeren i lyset af omtalen af tech-giganternes manglende
efterlevelse af lovgivningen om aldersgrænse for samtykke bl.a. i
artiklen ”»Rystende« og »ubegribeligt«: Snapchat og TikTok nægter
at følge nye danske regler”, politiken.dk, den 8. april, besvare
følgende:
Er ministeren enig i, at meningen med at hæve aldersgrænsen for,
hvornår børn kan give samtykke til behandling af personoplysninger
fra 13 år til 15 år, var at sikre børn særligt på sociale medier?
Vil ministeren uddybe, hvad Justitsministeriet mener, når man i et svar
til Politiken oplyser, at brugeroprettelse på sociale medier ofte sker
på et andet grundlag end »samtykke«, herunder hvilket andet
grundlag brugeroprettelse kan ske på, hvilket ifølge artiklen er
Snapchats argument for ikke at følge den nye danske lov?
Er ministeren bekendt med Det Europæiske Databeskyttelsesråds
afgørelse mod Meta om et forbud mod behandling af
personoplysninger til brug for adfærdsbaseret markedsføring på
baggrund af forordningens artikel 6, stk. 1, litra b (kontrakt) og litra
Side 1/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
f (interesseafvejning), og vil i ministeren i så fald forholde sig til
afgørelsen i forhold Justitsministeriets svar til Politiken?
Mener ministeren, at Google lever op til de nye aldersregler ved at
bede om forældres samtykke til børns YouTube-kanal, når børn i
øvrigt kan tilgå og anvende YouTube uden forældresamtykke?
Mener ministeren, at borgerne i Danmark kan være trygge ved
lovgivningen og retssikkerheden, når techgiganterne omgår eller
ignorerer loven?
Spørgsmålene er stillet efter ønske fra Lisbeth Bech-Nielsen (SF).
Svar:
[Indledning]
Tak for ordet og tak for spørgsmålene.
Jeg vil gerne begynde med at slå fast, at jeg mener, at vi
skal gøre mere for at beskytte vores børn og unge imod
de uhyrligheder, de risikerer at blive eksponeret for
online.
Internettet flyder med råddenskab. Dyremishandlinger,
færdselsulykker, selvskadevideoer osv. osv. For mig at
se har de store tech-virksomheder to muligheder: Enten
tager de markant større ansvar og rydder op. Eller også
vil vi i Danmark og Europa regulere mere og strammere.
Regeringen har allerede lanceret og iværksat en række
tiltag, som har til formål at beskytte vores børn og unge
bedre – både på nationalt plan og i EU-regi.
Side 2/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
Jeg vil indlede med at fokusere på et af de tiltag, hvilket
også er genstanden for samrådsspørgsmålet. Herefter vil
erhvervsministeren komme ind på den lidt bredere
dagsorden i forhold til tech-giganterne.
Men først til den ændring af databeskyttelsesloven, som
trådte i kraft i januar.
[Databeskyttelsesreglerne]
Og nu bliver det så lidt teknisk. For juraen på det her
område er relativt snørklet.
Først vil jeg sætte lidt ord på den overordnede ramme for
behandling af personoplysninger. For det er afgørende
for at forstå den lovændring, der spørges til.
Når sociale medier behandler personoplysninger, så
finder GDPR og databeskyttelsesloven anvendelse.
Lad mig i den forbindelse minde om, at en forordning jo
sætter barren på tværs af EU.
Det indebærer bl.a., at en behandling skal have et
behandlingsgrundlag og i øvrigt leve op til de
grundlæggende principper for behandling af
personoplysninger
om
eksempelvis
lovlighed,
rimelighed og proportionalitet.
Der skelnes mellem, om der er tale om almindelige
personoplysninger,
følsomme
personoplysninger,
Side 3/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
oplysninger om strafbare forhold eller oplysninger om
CPR-nummer.
Den behandling af personoplysninger, der sker, når man
opretter en profil på et socialt medie, vil ofte være
almindelige personoplysninger. Så det er det, jeg vil
koncentrere mig om i dag.
Behandling af almindelige personoplysninger kan ske,
hvis der kan peges et af følgende seks
behandlingsgrundlag:
1. Den registrerede har givet samtykke til
behandlingen.
2. Behandlingen er nødvendig af hensyn til en
kontrakt med den registrerede.
3. Behandlingen er nødvendig for at overholde en
retlig forpligtelse.
4. Behandlingen er nødvendig for at beskytte den
registreredes eller en anden fysisk persons vitale
interesser.
5. Behandlingen er nødvendig af hensyn til en opgave
i samfundets interesse eller offentlig
myndighedsudøvelse.
6. Behandlingen er nødvendig af hensyn til en legitim
interesse, som ikke overgås af den registreredes
interesser eller rettigheder.
Side 4/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
[Lovændringen]
GPDR indeholder en særlig bestemmelse om, hvornår et
barn kan samtykke til behandling af personoplysninger
på bl.a. sociale medier. Netop i erkendelse af, at der her
er et særligt beskyttelsesbehov.
Udgangspunktet er, at børn under 16 år ikke kan
samtykke til behandling af deres personoplysninger.
Medlemsstaterne kan dog godt fastsætte en lavere
aldersgrænse, men aldersgrænsen må ikke ligge under 13
år.
Da databeskyttelsesforordningen skulle gennemføres i
dansk ret, blev aldersgrænsen sat til 13 år. Men vi er et
andet sted i dag, og derfor ønskede vi fra regeringens side
at hæve aldersgrænsen i overensstemmelse med den
anbefaling, der kom fra regeringens ekspertgruppe om
tech-giganter.
Med lovændringen brugte vi de muligheder, der er inden
for GDPR, til at hæve aldersgrænsen for, hvornår et barn
kan give samtykke til at få behandlet personoplysninger
i forbindelse med e-handel, online spil og sociale medier.
Aldersgrænsen blev hævet til 15 år, og det indebærer, at
et barn ikke kan give samtykke til at få behandlet
personoplysninger på eksempelvis sociale medier, hvis
barnet er under 15 år. Forældre vil dog kunne give
samtykke til en sådan behandling. Når vi foreslog 15 år
Side 5/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
og ikke 16 år, skyldes det sammenhængen med andre
aldersgrænser, f.eks. den kriminelle lavalder og den
seksuelle lavalder.
[Betydningen af lovændringen]
Som jeg var inde på tidligere, findes der forskellige
grundlag for at behandle personoplysninger. Og som det
også har været fremme, vil forudsætningen om, at der
skal være tale om et samtykke, ikke altid være opfyldt.
Det skyldes, at behandlingen af personoplysninger ofte
sker på en anden baggrund end samtykke.
En brugeroprettelse på mange sociale medier sker f.eks.
på baggrund af en kontrakt mellem platformen og
brugeren. Den nye aldersgrænse forhindrer derfor ikke
nødvendigvis et barn under 15 år i at oprette en profil på
et socialt medie.
Det kan lyde mærkeligt, at der er forskel på et ”ja” i en
kontrakt og et ”ja” via et samtykke. Men juridisk er der
altså en forskel.
Jeg er fuldt ud bevidst om, at den lovændring, vi lavede,
langt fra løser alle de udfordringer, vi har ift. digitale
platforme. Det har jeg heller aldrig påstået.
Det blev også gjort klart, da vi udfærdigede lovforslaget.
Her lagde vi vægt på, at hensigten med ændringen var at
øge bevidstheden og eftertænksomheden hos børnene, de
unge og forældremyndighedsindehaverne, om de
Side 6/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
faldgruber der kan være ved at få behandlet
personoplysninger på internettet.
I lyset af den mediedækning, der har været – så håber jeg,
at der er ved at blive skabt en øget bevidsthed om de
risici, det indebærer at sige ja til at få behandlet
personoplysninger på eksempelvis sociale medier.
Som jeg har redegjort for, så er der jo tale om en ret
snæver ordning, der sigter på behandling af
personoplysninger baseret på et samtykke. Det ligger et
stykke fra, hvad nogle – herunder jeg selv – gerne så
gennemført ift. helt at fjerne muligheden for, at børn kan
oprette en profil på et socialt medie.
Derfor vil vi også undersøge, om det er muligt at gå
endnu længere. For eksempel ved at indføre et nationalt
forbud mod, at sociale medier indgår aftaler med børn og
unge under en bestemt aldersgrænse. På den måde vil vi
kunne udelukke børn under f.eks. 15 år fra at oprette
brugerprofiler på sociale medier uden deres forældres
samtykke.
Jeg er fuldt ud bevidst om, at den gennemførte
lovændring ikke i sig selv kommer til at skabe
revolutioner, men hvor der er håndtag, vi kan skrue på,
skal vi efter min opfattelse gøre det.
[Meta-afgørelsen]
Side 7/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
Spørgeren har også interesseret sig for afgørelsen
vedrørende
Meta,
som
Det
Europæiske
Databeskyttelsesråd traf den 27. oktober sidste år.
Ifølge afgørelsen overtrådte Meta GDPR ved at behandle
personoplysninger til adfærdsbaseret markedsføring på
baggrund af behandlingsgrundlagene; kontrakt og
interesseafvejning. Adfærdsbaseret markedsføring
betyder målrettede reklamer på baggrund af indsamling
af oplysninger om den enkelte brugers aktiviteter på
internettet. EDPB lagde vægt på, at behandlingen ikke
var nødvendig for at opfylde kontrakten mellem Meta og
brugeren, og at Metas interesse i at behandle
oplysningerne ikke oversteg brugernes interesse i, at
behandlingen ikke skete.
Afgørelsen har altså ikke direkte betydning for selve
brugeroprettelsen på et socialt medie. Den relaterer sig
snævert til behandling af personoplysninger til at
målrette reklamer.
Men afgørelsen er vigtig. For den viser, at der er grænser
for, hvilke behandlingsgrundlag, man som dataansvarlig
kan henvise til. Og der er altså ikke frit valg på alle
hylder.
[Håndhævelse]
Som min gennemgang også illustrerer, er der forskellige
veje at gå, når det drejer sig om behandling af
personoplysninger.
Side 8/9
 DIU, Alm.del - 2023-24 - Endeligt svar på spørgsmål 174: Spm. om talepapir fra samrådet den 22/5-24 om techgiganternes manglende efterlevelse af lovgivningen om aldersgrænse for samtykke
Det er i første omgang platformene selv, der er ansvarlige
for at overholde og indrette sig efter lovgivningen.
Den endelige vurdering af lovligheden af en behandling
vil bero på en konkret vurdering, og det hører under
Datatilsynets kompetence at vurdere, om et
behandlingsgrundlag er lovligt.
[Afrunding]
Som sagt mener jeg, at vi skal gøre mere for at beskytte
vores børn og unge. De skal være trygge overalt – både i
den virkelige verden og virtuelt. Og derfor er det også
min holdning, at de store tech-virksomheder har to
muligheder: Enten tager de markant større ansvar og
rydder op. Eller også vil vi i Danmark og Europa regulere
mere og strammere.
[Ordet til erhvervsministeren]
Og med de ord vil jeg give ordet videre til
erhvervsministeren.
Side 9/9