Vägledning för att stärka barn och ungas digitala rättigheter

Händer det att er biblioteksverksamhet genomför digital aktiviteter som riktar sig till barn och unga? Kanske använder ni eller har skapat digitala tjänster där barn kan registrera sig?  Datainspektionen, Barnombudsmannen och Statens medieråd har tillsammans satt samman ett metodmaterial med råd kring hur man bör tänka gällande integritet och GDPR men också kring annat som är aktuellt nu i och med att barnkonventionen blivit lag.

Deras gemensamma väglednings syfte är att ge generellt stöd,främst utifrån ett integritetsperspektiv med fokus på GDPR och ett barnrättsperspektiv (utifrån barnkonventionen). Vägledningen innehåller också råd baserade på lagstiftarens intentioner beträffande att skydda barn från skadlig mediepåverkan, som kanske också är relevanta ur ett biblioteksperspektiv när det gäller tillgång till media.

Vad som blir tydligt när man läser guiden är att det inte är helt tydligt vad som egentligen gäller. Lagstiftningen är troligtvis så ny att även myndigheterna inte enkelt kan ge klara besked om allt. Om ni är osäkra på något även efter att ha läst guiden är det bra att konsultera era kommunjurister eller den relevanta myndigheten. 

Guiden i sin helhet hittar ni på Statens Medieråd: Barn och ungas digitala rättigheter – en guide till aktörer.

Digitala miljöer ska vara trygga, säkra och anpassade efter barn och unga. Inom ramen för digitaliseringsstrategin har regeringen uppmärksammat behovet av digital trygghet, säkerhet och integritet. Bibliotek är ett exempel på en offentliga aktör som behöver agera på ett ansvarsfullt sätt och att det krävs säkra digitala system som värnar den personliga integriteten.Vid utveckling och användning av digitala verktyg och tjänster behöver man följa de regler som finns till skydd av barn och unga vilket metodmaterialet sammanfattar.

Barn ska skyddas utifrån barnkonventionens skrivningar, integritetsmässigt utifrån dataskyddsförordningen (GDPR) och skyddas från skadlig mediepåverkan som att behöva bli utsatt för våld eller pornografi. 

Utifrån metodmaterialets checklista försöker vi sammanfatta vad som behöver tas i beaktande vid skapandet av digitala tjänster riktade mot barn och unga. Läs gärna också hela metodmaterialet.

Låt barnkonventionen och barnets bästa genomsyra er tjänst!

Alla som skapar tjänster som riktar sig till barn och unga ska  vid varje beslut som rör erbjudandet och dess utformning ha barnets bästa i fokus och barnkonventionen som utgångspunkt. Det är således viktigt att bekanta sig med konventionen vars fyra grundprinciper ska genomsyra allt arbete riktat mot barn. 

  • Artikel 2 – varje barn har samma rättigheter och lika värde. 
  • Artikel 3 – barnets bästa ska beaktas vid alla beslut som rör barn. 
  • Artikel 6 – varje barn har rätt till liv och utveckling. 
  • Artikel 12 – varje barn har rätt att uttrycka sin mening och få den respekterad.

Håll koll på viktiga begrepp!

Personuppgift är inte bara namn och adress utan all information som kan kopplas till en person till exempel fotografi, personnummer, ljudinspelningar med barnets röst. 

För vilka syften behöver ni personuppgifter?

Ändamålen bestämmer bland annat vilka uppgifter ni får samla in, hur länge de får sparas och om ni får dela vidare uppgifterna.

Du får inte samla in “bra-att-ha-uppgifter”. En av huvudpunkterna i GDPR är att du inte får behandla fler personuppgifter än vad som behövs för ändamålen. Om du i din tjänst inte har något behov av att samla in till exempel barnets address vid registrering så bör du låta bli. Fundera på vilken data i form av personuppgifter som du behöver samla in för att tjänsten ska fungera som tänkt. 

Utan stöd i dataskyddsförordningen, GDPR, får ni inte använda personuppgifter!

Samtycke och avtal är exempel på rättsliga grunder som kan göra det lagligt att hantera personuppgifter. Du måste ha rättslig grund för att hantera personuppgifter. 

Barn över 13 år kan enligt dataskyddsreglerna samtycka till att deras personuppgifter används vid användning av informationssamhällets tjänster. Exempel på sådana tjänster är sociala medier, bloggar, internetforum, videodelningsplattformar, chattprogram, onlinespel, appar med spel eller annat innehåll. Det finns ingen särskilt angiven åldersgräns för när ett barn kan samtycka till att personuppgifter behandlas i andra situationer, enligt GDPR. 

Avtal kan användas som rättslig grund för att behandla barns personuppgifter om det är nödvändigt för att fullgöra det man kommit överens om i ett avtal. Avtal kan bara användas om barnet är tillräckligt gammalt för att i det enskilda fallet själv kunna bestämma över sina personuppgifter. 

Barn under 18 år har endast en begränsad rättshandlingsförmåga och kan inte ingå vilka avtal som helst. Barn över 16 år får ingå avtal i den mån de använder sin egen arbetsinkomst eller i den mån det behövs för den dagliga hushållningen om de har eget hushåll. I andra fall krävs vårdnadshavares samtycke för att ett avtal ska vara giltigt. Om avtalet inte är giltigt kan avtalsförhållandet inte heller läggas till grund för behandling av personuppgifter.

Vilket intresse väger tyngst? 

För att avgöra vilket intresse som väger tyngst kan en barnkonsekvensanalys göras. Analysen ska visa vilka konsekvenser och effekter som kan uppstå för barn vid olika handlingsalternativ.

  • Hur påverkas barn av olika handlingsalternativ? 
  • Vilka blir konsekvenserna för barn som befinner sig i utsatta situationer och där det finns stor risk att rättigheterna kränks eller där rättigheterna inte kan tillgodoses fullt ut?

GDPR-säkra era samtycken!

Samtycke ska ske som en tydlig viljeyttring, utan påtryckningar med möjlighet att när som helst återkalla det.

När det gäller barn under 13 år bör alltid vårdnadshavarens samtycke inhämtas. Föräldrarna har huvudansvar för barnets uppfostran och utveckling utifrån vad som bedöms vara barnets bästa. 

Barn över 16 år har generellt en viss rätt att agera självständigt i samhället och kan till exempel disponera sin egen arbetsinkomst. Någon som fyllt 16 år bör som regel också kunna ge ett giltigt samtycke till behandling av personuppgifter. 

Men vad gäller då för barn mellan 13 och 16 år? Jo, då behöver det i varje situation bedömas om barnet i just det sammanhanget kan anses ha förmåga att förstå konsekvenserna av ett samtycke. Faktorer som har betydelse för bedömningen är till exempel hur pass känsliga personuppgifter som barnet ska lämna ifrån sig, hur länge de ska sparas, barnets ålder och mognad. Ni måste ta ställning till om barnet kan förutse de konsekvenser som behandling av personuppgifter kan medföra och om barnet kan förstå vad hen samtycker till. 

Åldersgränsen blir en avvägning mellan rätten till delaktighet och risken att barnet far illa. Det är i förhållande till denna risk viktigt att se till den rätt som varje barn har. 

Ge information om hur uppgifterna om barn ska användas!

Informationen ska vara barnanpassad när ni vänder er till barn.

Barnet har rätt att få information anpassad till sin ålder och mognad samt rätt att uttrycka sina åsikter och ha del i åtgärder och beslut som påverkar barnets liv.

Även om förmågan att ta till sig mer komplex information och förstå konsekvenserna av sitt handlande utvecklas kontinuerligt ju äldre barn blir, finns stora skillnader mellan olika individer. För att förstå konsekvenserna av att exempelvis lämna ut sina personuppgifter kan vissa barn behöva mer stöd än vad som är förväntat utifrån deras kronologiska ålder. Detta gäller särskilt barn med särskilda behov, såsom barn med intellektuella funktionsnedsättningar

Gör barnanpassad information

Genom att anpassa informationen till mottagaren kan vi i högre grad säkerställa att informationen når ut. När informationen ska anpassas till barn är det viktigt att tänka på följande:

  • Skriv i klarspråk
  • Inte för lång text
  • Om vårdnadshavare behöver lämna sitt samtycke ska det tidigt och tydligt i texten framgå att barnet som det angår har rätt till informationen
  • Barn har olika förutsättningar. Behöver informationen finnas på andra språk eller kunna läsas upp?

Ibland kan det vara svårt att veta om informationen är barnanpassad. Ett tips är att låta en referensgrupp av barn vara delaktiga i framtagandet av en text. 

Gör en riskbedömning innan personuppgifterna samlas in!

Det är ett lagkrav och hjälper er att planera de åtgärder ni måste vidta för att skydda personuppgifterna.

Ni måste genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa – och även kunna visa – att behandlingen utförs enligt dataskyddsreglerna.

Även de särskilda rättigheter som barn och unga har enligt barnkonventionen ska omfattas av er riskanalys, bland annat att barn ska skyddas från alla former av våld och diskriminering och att principen om barnets bästa samt rätten för barn att komma till tals beaktas.

Ha beredskap för att hantera enskildas rättigheter enligt dataskyddsförordningen

Som till exempel begäran om registerutdrag och radering!

Den registrerade har rätt att vända sig till er för att få veta vilka personuppgifter ni behandlar om individen och på vilket sätt. Ni ska då ge personen ett så kallat registerutdrag. 

Både barn och vuxna har viss rätt att få sina personuppgifter raderade. Även i de fall då den ursprungliga insamlingen och behandlingen har varit laglig kan uppgifterna behöva raderas efter begäran från den som berörs. 

  • Vårdnadshavare behöver inte involveras vid radering av uppgifter, om den som uppgifterna berör är gammal nog att ta beslutet. Radering ska göras om barnet önskar detta och har uppnått en lämplig ålder för att bestämma över sina uppgifter, även om det var vårdnadshavare som ursprungligen gav samtycket.
  • Om barnet är gammalt nog att ge eget samtycke, bör ni inte acceptera en begäran om radering från en vårdnadshavare utan att ta hänsyn till barnets önskemål.
  • Det ska normalt vara lika lätt för ett barn att ta bort sina uppgifter som att lämna dem. Gör det lätt för barn att förstå vad som gäller och visa hur de kan utöva rätten att bli glömd.
  • Rätten att bli glömd gäller inte alltid. Det finns vissa tvingande skäl som gör att den personuppgiftsansvariga i vissa fall kan få behålla personuppgifterna, trots individens invändningar. Det kan exempelvis handla om att personuppgifter ska få behandlas på internet på grund av yttrandefrihetsskäl.

Behandla så få personuppgifter som möjligt

Ta hänsyn till integritetsaspekter och barnskydd vid planering och utformande av tjänster och system.

Eftersom all insamling av uppgifter om barn och unga kan sägas vara integritetskänslig i viss mån är det av extra vikt att respektera grundprincipen om att samla in så få uppgifter som möjligt om gruppen.

Utforma gränssnitt som minimerar insamlande av data. 

Motverka hot och hat på era plattformar och skydda barn från skadlig mediepåverkan!

Kontrollera ålder om det behövs för att skydda barn från våldsskildringar och dylikt. Ett exempel från biblioteksvärlden skulle kunna vara plattformar för strömmande media som man kan få tillgång till.