LUP Student Papers

Ett stärkt skydd för barns personuppgifter och personliga integritet? - Dataskyddsförordningens reglering gällande barns samtycke som rättslig grund för personuppgiftsbehandling i samband med erbjudande av informationssamhällets tjänster

• Mark

Abstract (Swedish)

Den 25 maj 2018 träder Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (dataskyddsförordningen) ikraft. Förordningen ersätter då Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskyddsdirektivet som implementerats i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) har nämligen inte kunnat förhindra att en rättslig fragmentering och försämring av skyddet för enskildas personuppgifter och... (More)

Den 25 maj 2018 träder Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (dataskyddsförordningen) ikraft. Förordningen ersätter då Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Dataskyddsdirektivet som implementerats i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) har nämligen inte kunnat förhindra att en rättslig fragmentering och försämring av skyddet för enskildas personuppgifter och personliga integritet har skett inom EU.

För att personuppgiftsbehandling ska vara tillåtet krävs det att sådan behandling sker på en i dataskyddsförordningen föreskriven rättslig grund. En av dessa rättsliga grunder är samtycke från den vars personuppgifter ska behandlas. Gällande barns möjlighet att lämna samtycke som rättslig grund för personuppgiftsbehandling i samband med erbjudande av informationssamhällets tjänster direkt till barn föreskrivs särskilda regler i dataskyddsförordningen.

Dagligen använder sig barn och ungdomar av informationssamhällets tjänster så som sociala medier, webbplatser för videoklipp och applikationer (appar) för smarta enheter. I samband med sådant användande förutsätts användaren mycket ofta samtycka till personuppgiftsbehandling och dela med sig av personuppgifter. I dataskyddsförordningen stadgas uttryckligen att barns personuppgifter i dessa situationer förtjänar ett extra starkt skydd. Barn kan nämligen vara mindre medvetna om risker med personuppgiftsbehandling och ha svårare att förstå sina rättigheter i sådana sammanhang. Det finns därför särskilda bestämmelser i dataskyddsförordningen som reglerar just situationen då barns samtycke kan utgöra rättslig grund för personuppgiftsbehandling i samband med erbjudande av informationssamhällets tjänster. Detta i syfte att stärka deras skydd.

Någon motsvarande bestämmelse finns inte i dataskyddsdirektivet och det finns därför anledning att undersöka och analysera den nya regleringen gällande barns möjlighet att lämna samtycke som rättslig grund för personuppgiftsbehandling i samband med erbjudande av informationssamhällets tjänster direkt till barn. Uppfylls förordningens syfte att stärka skyddet för barns personuppgifter och personliga integritet i detta hänseende? Kan skyddet för barns personuppgifter och personliga integritet sägas ha förstärkts genom införandet av dataskyddsförordningen och hur skiljer sig regleringarna från varandra?

Genom analysen i uppsatsen nås konklusionen att det finns argument både för och emot att skyddet för barns personuppgifter och personliga integritet i samband med erbjudande av informationssamhällets tjänster direkt till barn har förstärkts genom införandet av dataskyddsförordningen. Regleringarna skiljer sig mycket från varandra genom att dataskyddsdirektivet inte tidigare reglerat situationen explicit vilket medfört att rättsläget varit oklart. Det finns dock flera otydligheter som behöver åtgärdas innan en effektiv tillämpning av dataskyddsförordningen kan ske och syftet uppnås. Trots att oklarheterna är relativt många kring den nya regleringen i förordningen är en sak dock säker. Genom införandet av dataskyddsförordningen sätts skyddet för barns personuppgifter och personliga integritet mer i fokus än tidigare. Deras personuppgifters och personliga integritets extra skyddsvärde finns nu lagstadgat vilket definitivt är ett steg i rätt riktning mot att stärka skyddet för barns personuppgifter och personliga integritet. (Less)

Abstract

On the 25th of May 2018 the Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) enters into force. The regulation supersedes the Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Data Protection Directive). The Data Protection Directive which was implemented in Swedish law by the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) has not been able to prevent legal fragmentation... (More)

On the 25th of May 2018 the Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) enters into force. The regulation supersedes the Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Data Protection Directive). The Data Protection Directive which was implemented in Swedish law by the Personal Data Act (1998:204) and the Personal Data Ordinance (1998:1191) has not been able to prevent legal fragmentation and deterioration of the protection of individuals´ personal data and privacy within the EU.

Processing of personal data is lawful only if and to the extent that one of the legal bases described in the General Data Protection Regulation is met. One of these legal bases is consent from the person whose personal data are to be processed. Regarding the possibility for children to give consent as a legal basis for personal data processing in situations where information society services are offered directly to children, there are special rules in the regulation.

Children and young people use information society services such as social media, video- and websites and applications (apps) for smart devices every day. The user is often required to share personal data and give consent for personal data processing. The General Data Protection Regulation explicitly states that children´s personal data in these situations deserve extra strong protection. Children may be less aware of the risks of personal data processing and have more difficulty in understanding their rights in such contexts. Because of this, there are provisions in the regulation that specifically regulates the situation when children´s consent can be used as a legal basis for personal data processing when information society services are offered directly to children. This regulation has the purpose to strengthen their protection.

There is no corresponding rule in the Data Protection Directive and therefore there is reason to investigate and analyze the new regulation regarding the ability to use children´s consent as a legal basis for personal data processing in situations where information society services are offered directly to children. Is the regulation´s purpose to strengthen the protection of children´s personal data and privacy, fulfilled in this regard? Has the protection of children´s personal data and privacy been strengthened through the introduction of the General Data Protection Regulation and how do the regulation and the directive differ from each other?

Through the analysis, the paper concludes that there are both arguments that say that the protection of children’s personal data and privacy in situations where information society services are offered directly to a child, has been strengthened and arguments that say the opposite. The regulation and the directive are very different from each other since the Data Protection Directive does not even regulate the situation. There are several ambiguities that need to be addressed before an effective application of the new regulation and its purpose can be achieved. Even though the uncertainties are relatively numerous regarding the General Data Protection Regulation, one thing is certain. Through the introduction of the General Data Protection Regulation, the protection of children´s personal data and integrity has more focus than before. The extra protection that they deserve is now statutory and this is definitely a step in the right direction to strengthen the protection of children´s personal data and privacy. (Less)