Forbrukerombudets høringsuttalelse til forslag om ny personopplysningslov

Like dokumenter
Deres ref. Vår ref. Dato: Sak nr: 09/ Forbrukerombudets høringsuttalelse: etterkontroll av personopplysningsloven

DET KONGELIGE BARNE-, LIKESTILLINGS- OG INKLUDERINGSDEPARTEMENT. Deres ref Vår ref Dato EP PSW/HEA/mk /ANUARK,Z 7.02.

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Retningslinjer for publisering av bilder av barn

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringsuttalelse - Forslag til ny regulering av markedsføring rettet mot barn og unge av usunn mat og drikke

Barn og unges personopplysninger: Retningslinjer for innhenting og bruk

Vår ref. Sak nr: 15/ Saksbehandler: Brit Røthe Dir.tlf:

Strategisk plan for Forbrukertilsynet

Deres ref. Vår ref. Dato: Sak nr: 10/ Saksbehandler: Sara Holthe Jaklin Dir.tlf:

Forslag til ny lov om behandling av personopplysninger

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Markedsføring av kreftbehandling i utlandet

Utsendelse av markedsføring fra dinvalentine.no

Vurdering av standardkontrakt - mfl. 22

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

Høring om utkast til ny personopplysningslov - gjennomføring av personvernforordningen i norsk rett

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Krav til markedsføring av hastighet - mfl. 6, 7 og 8

Forbrukerombudets høringsuttalelse til forslag til ny åndsverklov

Vedrørende markedsføring av bolig - villedende prisantydninger

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

EUs personvernforordning og norsk personopplysningsrett

Tilsyn med brukeromtaler på nettsiden

Markedsføring av Nidars kampanje - Storplateopplevelsen

Forbrukerombudets veiledning til smartere mobilbruk

Barn og unges personopplysninger: Veiledning for innhenting og bruk

Tilsyn med brukeromtaler på

0030 Oslo 16. oktober 2017

MARKEDSFØRING OG INNGÅELSE AV AVTALER OM LEVERING AV ELEKTRISK KRAFT MARKEDSFØRINGSLOVEN

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

GPS-klokker for barn markedsføring og avtalevilkår

Personvernforordningen

Deres ref. Vår ref. Dato: Hans Kaiser Sak nr: 10/ Høring - Grønnbok om løsningsmodeller for en europeisk kontraktsrett

Forbrukerombudets høringsuttalelse - høring om evaluering av offentlighetsloven

Tilsyn med brukeromtaler på nettsiden

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Nasjonal høring - forslag til forordning om rettigheter for båtpassasjerer til sjøs og på innenlandske vannveier om endring av forordning 2006/2004

Markedsføring og avtalevilkår for førerassistanse-funksjoner i biler

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Tilsyn med reklame i redaksjonelle medier - skjult reklame og skille mellom redaksjonelt innhold og reklame

Ny personvernforordning Er vi alle forberedt?

Forbrukerombudets merknader til forslag til forskrift om god kredittmarkedsføring

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Direktemarkedsføring og forholdet til personvern. Advokat/leder forretningsjuridisk Hege Stensland Sveen

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

4 MARS 2010 Deres ref Vår ref Dato 2009/ /TSV

Deres ref: Vår ref: 2018/ Arkivkode: 008 Dato:

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Vedrørende markedsføring av mobilabonnement - påstander om "fri data"

I POLITIET. Politidirektoratet Postboks 8051 Dep OSLO HØRINGSSVAR OM MANDAT TIL PERSONVERNKOM MISJON

Forbrukerombudets guide til smartere mobilbruk

Markedsføring og salg av forsikringsavtaler og kredittavtaler i Spaceworld Megastore Storgata

OM PERSONVERN TRONDHEIM. Mai 2018

Deres ref. Vår ref. Dato: 12/185 KSJ Sak nr: 12/

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Forslag til ny personopplysningslov

Varsel om vedtak om overtredelsesgebyr - mfl 11 og mfl. 6 jf. forskrift om urimelig handelspraksis pkt. 20 og 21 jf. mfl 39 og 43

FYLKESMANNEN I OSLO OG AKERSHUS Sosial- og familieavdelingen

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Deres ref. Vår ref. Dato 15/ /

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser.

GPS-klokker for barn markedsføring og avtalevilkår

Høringsnotat. Innhold. 1. Innledning

Ny personopplysningslov norsk implementering av EUs personvernforordning

Markedsføring av gullkjøp - orienteringsbrev til bransjen

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter

Markedsføring og inngåelse av strømavtaler med forbrukere - orienteringsbrev til kraftleverandører

Justis- og beredskapsdepartementet Innvandringsavdelingen Postboks 8005 Dep 0030 Oslo Oslo, 3. september 2014

I det følgende vil vi kommentere ulike forslag som vi mener er av særlig betydning for våre klienter.

Stabburets kampanje Kjøp 3 Idun ketchup og få filmen Det regner kjøttboller - Ny kampanje Kjøp 3 Nora saft - få gavekort

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Vi tar godt vare på personopplysningene dine knyttet til våre eventer.personvern for Mestring & Event AS

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Samtidig foreslås å oppheve forskrift nr. 309 om norsk ansvarlig organ for

Personvern i digitalisering av forvaltningen

Nye personvernregler

Varsel om sak for Markedsrådet med påstand om vedtak om tvangsmulkt markedsføringsloven 39 jf. 42

Høringssvar - EU-kommisjonens forslag til ny forordning om forbrukervernsamarbeid

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Nye personvernregler

Forbrukerombudets veiledning til smartere mobilbruk

Høringsuttalelse endringer i arbeidsmiljøloven om deltidsansattes fortrinnsrett og rettskraft for Tvisteløsningsnemndas avgjørelser

Standardvilkår for bruk av mobiltelefon. Varsel om sak for Markedsrådet

BESKYTTELSE AV DINE PERSONOPPLYSNINGER

Uttalelse - forslag til ny forordning om forbrukervernsamarbeid

Vår ref.: 19/679-3/ROWF Deres ref.: Dato: Medietilsynets merknader til høring om forslag til gjennomføring av ny forordning (EU) 2017/2394

Standardvilkår for bruk av fasttelefon

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Regelrådets uttalelse. Om: Forslag om endring av reaksjonshjemlene i produktkontrolloven Ansvarlig: Miljødirektoratet

Transkript:

Justis- og beredskapsdepartementet Leveres elektronisk på regjeringen.no Deres ref. Vår ref. Dato: Sak nr: 17/1680-2 16.10.2017 Saksbehandler: Helge Blyberg Dir.tlf: 45230006 Forbrukerombudets høringsuttalelse til forslag om ny personopplysningslov 1. Innledning Vi viser til Justis- og beredskapsdepartementets høringsbrev av 6. juli 2017 vedrørende utkast til ny personopplysningslov gjennomføring av EUs personvernforordning (GDPR) i norsk rett. Forbrukerombudet fører tilsyn med at næringsdrivendes markedsføring og bruk av standardvilkår i kontrakter som inngås med forbrukere er i tråd med kravene som følger av markedsføringsloven. Innledningsvis vil vi fremheve at vi er positive til at den nye personvernforordningen på flere områder vil kunne bidra til et sterkere forbrukervern. For at rettighetene i forordningen skal være effektive er det viktig at det ses hen til forbrukerne når praksis skal fastlegges rundt de rettigheter og skjerpede krav til behandling av personopplysninger som introduseres med forordningen. Forordningen vil få stor betydning for norske forbrukere og for Forbrukerombudets tilsynsarbeid. I implementeringen er det begrenset handlingsrom for de enkelte statene. Imidlertid åpner forordningen for at medlemslandene ved lov kan fravike forordningens aldersgrense for barns samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester. Vi konsentrerer oss særlig om dette i høringssvaret vårt. Oppsummert er Forbrukerombudets konklusjoner: - Forbrukervern og personvern må sees i sammenheng, fordi de to regelverkene overlapper og utfyller hverandre i den digitale økonomien. Forbrukerombudet Sandakerveien 138, 0484 Oslo Telefon 23 400 600 Telefaks 23 400 601 E-post post@forbrukerombudet.no Internett www.forbrukerombudet.no Foretaksnummer 974 761 335

- Aldersgrensen for barns samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester, uten samtykke fra foreldrene, må være 16 år. Tilbyderne av digitale tjenester må være ansvarlige for å tilpasse innhentingen av personopplysninger til de målgruppene de ønsker å nå. - For å sikre barns rettigheter ved sensitive personopplysninger bør det komme tydelig fram i lovutkastet 8 at bestemmelsen ikke omfatter innhenting av sensitive personopplysninger. 2. Samspill mellom forbrukervern og personvern i den digitale økonomien Forbrukerombudets prosjekt «Avtalevilkår og forbrukerdata i den digitale økonomien» Forbrukerombudet gjennomfører prosjektet «Avtalevilkår og forbrukerdata i den digitale økonomien» med finansiering av Barne- og likestillingsdepartementet. I prosjektet samarbeider vi med Datatilsynet for å legge til rette for en mer effektiv behandling av saker som reiser spørsmål etter både forbruker- og personvernregelverket. Arbeidet skal bidra til en klargjøring av rettstilstanden gjennom praksis og diskusjoner om overlapping mellom forbrukervern og personvern, og foregår i internasjonale fora i tillegg til nasjonalt. Siden problemstillingene gjør seg gjeldende på tvers av landegrensene, har Forbrukerombudet vært pådriver for opprettelse av fora som Digital Clearinghouse hos European Data Protection Supervisor og mellom myndighetene i det europeiske nettverket av forbrukertilsyn og art. 29-arbeidsgruppen. I tillegg har vi bidratt til å sette forholdet mellom person- og forbrukervern på agendaen i det internasjonale nettverket av håndhevingsmyndigheter på forbrukerfeltet, ICPEN. Prosjektet, og den internasjonale oppslutningen om arbeidet med problemstillingene det tar opp, viser den nære sammenhengen mellom person- og forbrukervern. Forbrukerombudet (fra 1. januar 2018 Forbrukertilsynet) vil også etter implementeringen av GDPR drive tilsynsarbeid med betydning for Datatilsynets kompetanseområde, og vice versa, og det vil være viktig for å sikre at reglene i GDPR blir effektive overfor forbrukere. Vi gir i det følgende noen eksempler på dette. Forbrukervern og personvern Den digitale økonomien har medført utbredelse av forretningsmodeller basert på kommersiell utnyttelse av forbrukerdata. Dette utfordrer grunnleggende forbruker- og personvern på flere måter. Forbrukerne har for det første lite kontroll over, og er i liten grad klar over, hvordan personopplysningene deres benyttes når de gir dem fra seg for å bruke forskjellige digitale tjenester. Avtalevilkårene for digitale tjenester og produkter er i mange tilfeller vanskelig tilgjengelige for forbrukerne. Vilkårene er ofte svært lange, og utformet i et vanskelig teknisk og juridisk språk. 2

For det andre samles forbrukerdata inn i stadig flere digitale tjenester og produkter, og selges noen ganger videre, bl. a. til annonsører og markedsføringsselskaper. Når forbrukerne gir vekk personlige data mot tilgang til tjenester, blir personopplysningene en handelsvare som kan erstatte penger, og gjøres til en form for betaling. Dette gjør det vanskelig for forbruker å sammenligne de faktiske kostnadene ved ulike tjenester, og om verdien av det du gir vekk, gjenspeiler verdien av hva du får i retur. Begge problemstillingene reiser åpenbare personvernspørsmål, og implementeringen av GDPR i den nye personopplysningsloven kan bidra til at forbrukerne kan få økt kontroll over egne personopplysninger når de tar i bruk forskjellige digitale tjenester. Dette er imidlertid ikke tilstrekkelig for å sikre at forbrukerrettighetene ivaretas i den digitale økonomien. Forbrukerlovgivningen vil supplere personopplysningsloven på helt sentrale punkter for å sikre at forbrukerne får den informasjonen de trenger for å ta informerte valg i den digitale økonomien. Markedsføringsloven har bestemmelser som gir Forbrukerombudet hjemmel til å gripe inn mot blant annet villedende reklame og urimelige avtalevilkår. Gjennom tilsyn med urimelige avtalevilkår har Forbrukerombudet i mange år håndhevet krav til klarhet i kontraktsforhold, som vil ha klare likhetstrekk med de nye kravene til klar informasjon etter GDPR. I praksis vil det kunne være overlappinger og vekselvirkninger mellom de to regelsettene: For forbrukerne er det nødvendig at både informasjon om behandling av personopplysninger og om partenes rettigheter og plikter for øvrig gis på en klar, forståelig og anvendbar måte. Tilsyn med markedsføring og avtaleinngåelsesprosesser vil videre bidra til at opplysninger om produkters og tjenesters funksjonalitet når det gjelder innhenting og bruk av personopplysninger blir gitt på riktig tidspunkt i forbrukernes beslutningsprosesser. Når disse hensynene er ivaretatt, kan forbrukerne se hen til personvernkonsekvensene av forskjellige valg i sine beslutninger som markedsaktører. Et annet eksempel på vekselvirkningen mellom de to regelsettene er bruk av personopplysninger til direktemarkedsføring. Personopplysninger benyttes i utstrakt grad av næringsdrivende for å rette markedsføring direkte til enkeltforbrukere, for eksempel ved hjelp av telefon, adressert post, e-post, SMS eller meldinger sendt gjennom sosiale medier. Markedsføringslovens regler om innhenting og bruk av personopplysninger til direktemarkedsføring gjennomfører kommunikasjonsvernsregelverket i EU, men samtykkebegrepet baserer seg på personopplysningslovens krav til samtykke. Hvordan tilgangen til personopplysninger blir regulert i personvernlovgivningen, påvirker derfor i betydelig grad hvordan næringsdrivende kan innhente og bruke personopplysninger i markedsføringsøyemed. 3

Disse eksemplene på samspillet mellom de to regelsettene får først og fremst betydning for de som anvender regelverket. Samtidig har det betydning at departementet og lovgiver ser forbrukervernet og personvernet i sammenheng når de konkrete bestemmelsene i personopplysningsloven skal utformes, slik at hensynet til de situasjonene forbrukerne står overfor i sin digitale hverdag tas i betraktning. 3. Barns personvern 3.1 Personopplysningsloven 8 A ) Forslaget om 13 års aldersgrense for samtykke til informasjonssamfunnstjenester I følge GDPR må et barn være minst 16 år for selv å kunne samtykke til behandling av personopplysninger i forbindelse med informasjonssamfunnstjenester, som f. eks. sosiale medier. De enkelte statene kan fravike bestemmelsen, og sette lavere aldersgrense. I høringsnotatet er det foreslått at Norge bør benytte seg av muligheten til å fravike utgangspunktet i GDPR, og sette aldersgrensen til 13 år. Etter Justis- og beredskapsdepartementets vurdering vil en aldersgrense på 13 år i størst grad ta hensyn til barnets selvbestemmelsesrett. Forbrukerombudet deler ikke departementets vurderinger, og anbefaler at aldersgrensen settes til 16 år, i samsvar med aldersgrensen i GDPR. Vi registrerer at det i høringsnotatet vises til at Barneombudet, Barne- og likestillingsdepartementet og Medietilsynet også stiller spørsmål ved hensiktsmessigheten av en så lav aldersgrense som 13 år. I tiden etter EU-kommisjonens forslag til forordning og vår høringsuttalelse til denne i 2012, har vi fått enda bedre kunnskapsgrunnlag om hvordan informasjon om rettigheter og plikter i forbindelse med digitale tjenester ofte er utilgjengelig for forbrukerne. Vi viser i den forbindelse til Forbrukerrådets undersøkelser av avtalevilkår i forbindelse med forskjellige digitale tjenester. Spørsmålet er i tillegg satt på agendaen til tilsynsmyndigheter både europeisk og internasjonalt. Problemstillingene dette reiser, gjelder i enda større grad for barn. Forbrukerombudet er opptatt av at også barn under 16 år skal kunne delta i samfunnet ved å bruke digitale tjenester. Vi mener imidlertid at tjenestene må tilpasse seg til sin yngre målgruppe ved å begrense behandlingen av barns personopplysninger ellers må foreldrenes samtykke kreves. Vi vil i det følgende begrunne Forbrukerombudets standpunkt. Modenhet, erfaring og kunnskap Barn og unge er en populær forbrukergruppe som raskt tar i bruk ny teknologi, tilkoblede produkter og digitale tjenester som sosiale nettverk og nettbaserte spill. Medietilsynet har 4

kartlagt at nesten halvparten av alle barn mellom 9 og 16 år bruker sosiale medier daglig. Syv prosent av barna i alderen 12-14 år har brukt datingtjenester det siste året, og dette tallet stiger til 18 prosent når barna er 15-16 år. 1 SIFO viser i sin rapport om barn og internettilkoblede teknologier hvordan barn i økende grad eksponeres for grenseflater mot internett med potensiale for innhenting av personopplysninger og distribusjon av markedsføring. 2 I rapporten «Ungdom og digital sikkerhetskultur» fra NorSIS fremkommer at ungdom har mindre kunnskap om digital sikkerhet enn resten av befolkningen. Rapporten viser at ungdom får lite opplæring i informasjonssikkerhet, sammenlignet med befolkningen for øvrig. Kun 6 av 10 sier at de vet hva informasjonssikkerhet er. Selv om ungdom er opptatt av personvern, mangler de nødvendig kunnskap og ferdigheter som faktisk kan beskytte deres personopplysninger. Kun 4 av 10 sier at de har interesse for teknologi og IT. 3 Barn har ikke nødvendig kunnskap eller erfaring til å overskue konsekvensene av valgene de tar som digitale forbrukere. Barns modenhet er dessuten ikke utviklet i samme grad som hos voksne. Disse forholdene gjør dem til en sårbar og lettpåvirkelig målgruppe, som trenger og har krav på særlig beskyttelse. På flere områder anerkjenner lovgiver at barn er avhengig av sine foreldre til å ta avgjørelser om seg selv. Den helserettslige myndighetsalderen er 16 år. Fra den alderen råder barnet selv over beslutninger om egen helse, og har således kontroll over egne helseopplysninger. Disse reglene, og flere tilsvarende, viser at lovgiver anerkjenner at barns rett til å bestemme over egne forhold må tilpasses modenhetsnivået deres. Barn har heller ikke samme avtalekompetanse som voksne. Barn og mindreårige under 18 år kan ikke sette seg i gjeld, eller kjøpe ting som skal betales gjennom en faktura de får tilsendt i ettertid. De kan heller ikke inngå abonnementsavtaler som koster penger uten at foreldrene samtykker til dette. Det er klart at GDPR ikke er ment å regulere statenes generelle avtalerett, men hvis små barn skal kunne samtykke til behandling av personopplysninger i forbindelse med avtaler med informasjonssamfunnstjenester kan forholdet til vergemålsloven bli uklart. Situasjoner kan oppstå hvor barn har kompetanse til å samtykke til behandling av personopplysninger overfor tjenester de ikke har rettslig handleevne til å inngå avtale om å benytte. Jo lavere aldersgrense for samtykke, jo mer praktisk er denne problemstillingen. Barns rett til selvbestemmelse vs. behov for beskyttelse 1 Medietilsynet (2016): Barn og medier 2016. www.barnogmedier2016.no 2 SIFO (2017): Barn og internettkoblede leker og teknologier IoT. http://www.hioa.no/om- HiOA/Senter-for-velferds-og-arbeidslivsforskning/SIFO/Publikasjoner-fra-SIFO/Barn-oginternettkoblede-leker-og-teknologier-IoT 3 Norsk senter for informasjonssikring (2017): Ungdom og digital sikkerhetskultur https://norsis.no/ungdom-digital-sikkerhetskultur/ 5

Forbrukerombudet ser problemstillingen når det gjelder å balansere barnas rett til selvbestemmelse og barnas behov for beskyttelse. Den faktiske konsekvensen av å ha en aldergrense på 16 år for å samtykke til bruk av egne personopplysninger, kan være at barnet ikke får tilgang til enkelte tjenester, som f.eks. sosiale medier dersom ikke foreldrene ønsker å gi dem det. Forbrukerombudet er likevel av den oppfatning at hensynet til barnets selvbestemmelsesrett ikke kan være avgjørende for å fravike forordningens bestemmelse om en aldersgrense på 16 år. Etter vår vurdering må barnas behov for beskyttelse veie tyngst. Vi stiller dessuten spørsmål ved hvor reell barnas selvbestemmelsesrett egentlig er hvis barnet ikke fullt ut forstår hva det vil innebære å gi samtykke til innhenting og behandling av personopplysningene deres. Selv om barn ofte kan mer enn sine foreldre om nye digitale tjenester, er de ikke alltid i stand til å overskue rekkevidden og konsekvensene av for eksempel å dele bilder og informasjon om seg selv, og spesielt ikke hva slags opplysninger som samles inn til annet bruk i komplekse konstellasjoner av næringsdrivende. For å illustrere kan vi vise til funnene i et forsøk for å se om barn forstår rettighetene sine i sosiale medier. Under forsøket ble bl. a. 13-åringer konfrontert med dagens avtalevilkår til Instagram. Etter 20 minutter hadde 13-åringene så vidt klart å komme gjennom halvparten av vilkårene og ba om å få stoppe. Noen av tilbakemeldingene var: «Boring! It doesn t make any sense Amy, 13 years old», «You have to take about 10 minutes on each sentence Alex, 13 years old», «Are you sure this is necessary? There are, like, 100 pages Amy, 13 years old». 4 Barn er særlig utsatt på grunn av deres naturlige godtroenhet og manglende erfaring og trenger derfor ekstra beskyttelse fra lovverket og tilsynsmyndighetene. Selv om avtalevilkårene i forsøket ovenfor ble forenklet og klargjort i henhold til GDPRs krav, vil det alltid være en utfordring å forklare til et barn hvordan komplekse tjenester faktisk fungerer på en måte som gjør at de kan ta et veloverveid valg som tar hensyn til potensielle fremtidige konsekvenser. Næringslivets ansvar Et argument mot en aldersgrense på 16 år, har vært at det det vil være praktisk vanskelig å hindre at barna gir samtykke til behandling av personopplysningene deres uten foreldrenes samtykke. Flere digitale tjenester opererer i dag med 13 års aldersgrense for å registrere seg, som for eksempel Snapchat. Med 16 års aldersgrense for å samtykke, øker antakelig risikoen for at noen barn feilaktig vil utgi seg for å være over 16 år når de forsøker å registrere seg. 4 Children s Commissioner for England (2017):Growing Up Digital https://www.childrenscommissioner.gov.uk/wp-content/uploads/2017/06/growing-up-digital- Taskforce-Report-January-2017_0.pdf 6

Forbrukerombudet kan likevel ikke se at dette skal være et avgjørende argument mot å innføre en aldersgrense på 16 år. Det har lenge skapt problemer at tilbydere ikke hindrer at barn bruker internettjenester som de er for unge til. Forordningen krever nå i artikkel 8 nr. 2 at behandlingsansvarlige skal treffe rimelige tiltak for å kontrollere at foreldrenes samtykke er gitt. Dette legges det også opp til at det skal utarbeides adferdsnormer om, jf. artikkel 40 nr. 2 bokstav g. Dette kan avhjelpe de eventuelle utfordringene med at aldersgrensen omgås. Å innføre rimelige tiltak for å innhente foreldresamtykke fra barn under aldersgrensen er imidlertid ikke den eneste måten tjenestetilbyderne kan tilpasse seg det nye regelverket. Dersom det ikke er ønskelig for en tjenestetilbyder å legge til rette for innhenting av foreldrenes samtykke, må heller tjenesten tilpasses til den yngre målgruppen slik at innsamlingen av personopplysninger ikke blir så omfattende at samtykke kreves. Det er ikke uvanlig at tilbydere av forskjellige tjenester tilpasser disse hvis de ønsker barn som brukere. Mobiloperatører tilbyr for eksempel kontantkort eller spesielle abonnementer som tar hensyn til barns behov for tryggere rammer. I bankbransjen tilbys betalingskort til barn på spesielle vilkår som reflekterer at barn har andre behov enn voksne. Ved å lage barnevennlige tjenester eller barnevennlige versjoner av digitale tjenester kan barnets selvbestemmelsesrett og barnets behov for beskyttelse bli ivaretatt. Forbrukerombudet mener at aldersgrensen i GDPR er en mulighet for å begrense tilbydernes adgang til å utnytte barns personopplysninger, og innføre en ordning som kan begrense de problemene vi så langt har sett med at barn uten foreldrenes involvering bruker internettjenester som ikke passer for unge. Ansvaret for at tjenester med en ung målgruppe ivaretar barns personvern må legges på tilbyderne, og ikke på barna selv. Forordningens utgangspunkt er at barn skal beskyttes, og at aldersgrensen for samtykke er 16 år Barnas behov for beskyttelse er forankret flere steder i forordningen bl. a. i art. 8 nr. 1 og i fortalepunkter 38 og 75. Forordningens fortalepunkt 38 slår fast at: «Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandlingen av personopplysninger. Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn.» Betraktningene som kommer fram i fortalen, begrunner godt valget av aldersgrensen på 16 år, og vi kan ikke se at det i høringsnotatet er vist til noen tungtveiende grunner til at Norge skal fravike denne aldersgrensen. 7

På denne bakgrunnen anbefaler Forbrukerombudet at aldersgrensen for å samtykke til behandling av personopplysninger i forslag til ny personopplysningslov 8 settes til 16 år, i overensstemmelse med artikkel 8 i personvernforordningen. B ) Barn og sensitive personopplysninger Regelen om aldersgrense for samtykke til behandling av personopplysninger kan også ha konsekvenser for behandling av barns sensitive personopplysninger. Forbrukerombudet er glad for at Justis- og beredskapsdepartementet ser problemstillingen. I høringsnotatet side 116 fremgår det: «Departementet kan ikke se at forordningen positivt regulerer spørsmålet og legger som følge av dette til grunn at bestemmelsene i artikkel 8 må forstås slik at den ikke gjelder samtykke til behandling av sensitive personopplysninger, jf. Artikkel 9 nr. 2 bokstav a.» Vi mener at det bør tilføyes eksplisitt i loven at aldersgrensen ikke gjelder for samtykke til behandling av sensitive personopplysninger. Ved å klargjøre dette i lovteksten, kan man unngå tvilstilfeller hos næringsdrivende, som ellers kunne resultere i at barns sensitive personopplysninger kan komme på avveie og misbrukes. Ved et enklere og klarere regelverk med mindre rom for tolkningstvil, vil forbrukerne og barn sikres et sterkere vern og en mer effektiv beskyttelse. Vi foreslår at det bør tas inn i personopplysningsloven 8 som et andre ledd: «Dette gjelder ikke for sensitive personopplysninger, jf. forordningen artikkel 9 nr. 2 bokstav a.» * * * Forbrukerombudet stiller seg til disposisjon dersom departementet ønsker videre innspill i forbindelse med utarbeidelsen av forslag til ny personopplysningslov. Med vennlig hilsen Elisabeth Lier Haugseth forbrukerombud Dokumentet er godkjent elektronisk og har derfor ikke håndskrevet signatur. 8

9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding