Tillåtet att inhämta samtycke från barn enligt GDPR
Det är tillåtet att inhämta samtycke från barn på onlinetjänster såsom sociala medier om barnet är över 13 år i Sverige enligt GDPR.
Vi har samlat fakta och vanliga frågor om GDPR (dataskyddsförordningen) som kan vara bra att känna till som företagare. GDPR började gälla i EU och EES-länderna den 25 maj 2018 och i Sverige ersatte GDPR personuppgiftslagen. Det är ett relativt omfattande regelverk som berör de företag, organisationer och offentliga organ som behandlar personuppgifter.
Exempel på personuppgifter är namn, personnummer, men även sådana som går att koppla till en person genom en bakvägsidentifikation. Dessutom skiljer GDPR på känsliga, integritetskänsliga och vanliga personuppgifter, vilket är bra att känna till. Det finns flera saker som företag måste hålla reda på samt göra för att följa regelverket. Exempelvis måste företag ha en rättslig grund för att behandla personuppgifter, ha vissa avtal och dokument och följa dataskyddsprinciperna m.m.
Det är tillåtet att inhämta samtycke från barn på onlinetjänster såsom sociala medier om barnet är över 13 år i Sverige enligt GDPR.
Det är viktigt att veta definitionen av en personuppgiftsincident när ett företag behandlar personuppgifter.
Registrerade har flera rättigheter enligt GDPR som företag ska tillgodose. Därför behöver företag ha rutiner för att kunna göra det.
Företag ska inte behandla fler personuppgifter än nödvändigt för ändamålet (syftet) de blev inhämtade för.
Ett inhämtat samtycke får inte vara passivt eller ofrivilligt lämnat. Det måste också vara enkelt att återkalla samtycket enligt GDPR.
Företag måste kunna visa att de följer GDPR, vilket framgår av principen om ansvarsskyldighet som är en grundläggande dataskyddsprincip.
Företag måste ha särskilda ändamål vid personuppgiftsbehandling. Dessutom ska ändamålet vara uttryckligt angivet och berättigat.
En skola fick inte använda ansiktsigenkänning för närvarokontroll och blev tilldelade en sanktionsavgift på 200 000 kr.
Ett företag raderade inte personuppgifter i tid och lämnade felaktig information om att de hade raderat uppgifterna när det inte hade skett.
Ett företag underlättade inte utövandet av den registrerades rättigheter. Företaget fick därför en reprimand.