Navigasjon
GDPR > Artikkel 8. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester
Last ned PDF

Artikkel 8 GDPR. Vilkår for barns samtykke i forbindelse med informasjonssamfunnstjenester

Article 8 GDPR. Conditions applicable to child's consent in relation to information society services

1. Dersom artikkel 6 nr. 1 bokstav a) får anvendelse i forbindelse med tilbud om informasjonssamfunnstjenester direkte til et barn, er behandling av et barns personopplysninger lovlig dersom barnet er minst 16 år. Dersom barnet er under 16 år, er slik behandling lovlig bare dersom og i den grad samtykke er gitt eller godkjent av den som har foreldreansvar for barnet.

1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

Retningslinjer og rettspraksis Relaterte tekster

For disse formål kan medlemsstatene ved lov fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år.

Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.

2. I slike tilfeller skal den behandlingsansvarlige treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi.

2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.

Ekspertkommentar
Retningslinjer og rettspraksis

3. Nr. 1 skal ikke påvirke medlemsstatenes alminnelige avtalerett, f.eks. reglene for gyldigheten, utformingen eller virkningen av en avtale som gjelder et barn.

3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 8(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:


for å få tilgang til hele teksten

Ekspertkommentar ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
Ekspertkommentar

(EN) Children enjoy special protection under the General Data Protection Regulation as they are considered vulnerable (Guidelines on Consent). They did not indeed achieve physical and psychological maturity yet (Opinion 2/2009 on the Protection of Children’s Personal Data), so they may be less aware than adults of the risks and consequences of sharing their personal information when registering for online services or using connected platforms (recital 38).


for å få tilgang til hele teksten

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to articles 8(1) and 8(2) GDPR:

7.2.3 Determine when and how consent is to be obtained

Control

The organization should determine and document a process by which it can demonstrate if, when and how consent for the processing of PII was obtained from PII principals.

Implementation guidance

Consent can be required for processing of PII unless other lawful grounds apply. The organization should clearly document when consent needs to be obtained and the requirements for obtaining consent.


for å få tilgang til hele teksten

Fortalepunkter

38) Barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger. Et slikt særlig vern bør især få anvendelse på bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler samt på innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn. Samtykke fra den som har foreldreansvaret, bør ikke være nødvendig i forbindelse med forebyggings- eller rådgivningstjenester som tilbys direkte til barn.

(38) Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child.

Retningslinjer og rettspraksis Legg igjen en kommentar