Vernd barna í stafrænu umhverfi

Öruggt stafrænt umhverfi

Hið stafræna umhverfi er í stöðugri þróun og netnotkun verður sífellt stærri hluti af lífi barna. Sú þróun skapar ný tækifæri fyrir börn en henni fylgir einnig aukin hætta á því að brotið sé gegn börnum og réttindum þeirra. Það er mikilvægt að börnum séu veitt tækifæri til öruggrar þátttöku í stafrænum heimi. Til þess að það sé hægt þarf að efla þekkingu samfélagsins á þeim reglum er taka til réttinda barna og þátttöku þeirra í stafrænu umhverfi.

Barnaréttarnefnd Sameinuðu þjóðanna hefur gefið út leiðbeiningar um réttindi barna í stafrænu umhverfi, þar sem fjallað er um þau atriði sem aðildarríki barnasáttmálans þurfa að gæta að til þess að uppfylla skuldbindingar sínar samkvæmt sáttmálanum. Barnaréttarnefndin áréttar sérstaklega mikilvægi þess að foreldrar og fagfólk sem vinnur með börnum fái viðeigandi fræðslu og þjálfun. Þeim fyrirmælum er beint til aðildarríkja að vinna að vitundarvakningu um réttindi barna í stafrænu umhverfi einkum meðal þeirra sem hafa bein eða óbein áhrif á börn með ákvörðunum sínum. Þá kemur einnig fram í leiðbeiningunum að leggja þurfi áherslu á að auka stafrænt læsi og færni barna. Jafnframt sé mikilvægt að börn, foreldrar og fagfólk viti hvernig eigi að vernda friðhelgi barna og hvernig eigi að bregðast við ef brotið er gegn réttindum barna á netinu

Á Íslandi hefur aukin áhersla verið lögð á að efla stafrænt læsi barna. Í menntastefnu fyrir árin 2021-2030 er talað um fimm stoðir sem styðja eigi við gildi hennar. Ein af þessum stoðum er hæfni fyrir framtíðina þar sem leggja á áherslu á stafræna tilveru nemenda. Í greinargerð með tillögunni segir að nemendur skuli skilja bæði tækifæri og áskoranir stafrænnar tilveru og þurfi því að fá þjálfun í upplýsinga-, miðla- og tæknilæsi. Nemendur eiga að læra hvernig eigi að hagnýta stafræna tækni og auka þekkingu sína á persónuvernd og meðferð og greiningu upplýsinga. Huga á að notkun nemenda á samfélagsmiðlum og þeim kennd ábyrg nethegðun og helstu reglur um örugg stafræn samskipti.

Það sem er barni fyrir bestu

Samningur Sameinuðu þjóðanna um réttindi barnsins, eða Barnasáttmálinn, öðlaðist gildi að því er Ísland varðar þann 27. nóvember 1992 og var síðan lögfestur árið 2013. Með lögfestingu samningsins fengu börn sterkari réttarstöðu þar sem bein réttaráhrif hans voru tryggð.

Ákvæðum Barnasáttmálans er ætlað að tryggja börnum fjölbreytt réttindi sem varða velferð þeirra, heilsu, öryggi, fjölskyldutengsl, þroska, sjálfsmynd, og tjáningar- og skoðanafrelsi. Þá tryggir Barnasáttmálinn börnum að auki rétt til þátttöku á öllum sviðum samfélagsins og í öllum málum sem þau varðar. Við framsetningu þessara leiðbeininga var sérstaklega litið til grundvallarreglu 3. gr. Barnasáttmálans. Þar segir að allar ákvarðanir eða ráðstafanir yfirvalda er varða börn skuli byggðar á því sem er börnum fyrir bestu og setja eigi lög og reglur sem tryggja börnum þá vernd og umönnun sem velferð þeirra krefst. Þessa meginreglu er einnig að finna í stjórnarskránni en þar segir að börnum skuli tryggð í lögum sú vernd og umönnun sem velferð þeirra krefst. Þá kveða persónuverndarlögin á um sérstaka vernd persónuupplýsinga barna, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar, og réttindi sín í tengslum við meðferð þeirra.

Það er því brýnt að aðilar sem bjóða fram þjónustu sem börn nýta, búi yfir þekkingu á réttindum barna, þannig að þau séu virt og börn njóti verndar til að geta þroskast í hinu stafræna umhverfi.

• Hér má nálgast frekari upplýsingar um Barnasáttmálann.  
• Barnasáttmálinn - vefsíða.

Grundvallarákvæði Barnasáttmálans

2. gr. Jafnræði – bann við mismunun

Öll börn skulu njóta réttinda Barnasáttmálans án tillits til kynþáttar, litarháttar, kynferðis, tungu, trúar, stjórnmálaskoðana, ætternis, fötlunar, félagslegrar stöðu eða annarra aðstæðna þeirra eða stöðu eða athafna foreldra þeirra

3. gr. Það sem er barninu fyrir bestu

Allar ákvarðanir eða ráðstafanir yfirvalda er varða börn skulu byggðar á því sem er börnum fyrir bestu. Setja á lög og reglur sem tryggja börnum þá vernd og umönnun sem velferð þeirra krefst. Aðildarríki eiga að sjá til þess að stofnanir fyrir börn uppfylli reglur sem stjórnvöld hafa sett, sérstaklega um öryggi barna og heilsuvernd þeirra.

6. gr. Réttur til lífs og þroska

Sérhvert barn á meðfæddan rétt til lífs og þroska og skulu aðildarríkin tryggja að það megi lifa og þroskast.

12. gr. Réttur til að láta skoðanir sínar í ljós og fá að hafa áhrif

Börn eiga rétt á að láta í ljós skoðanir sínar í öllum málum er varða þau og að tekið sé réttmætt tillit til skoðana þeirra í samræmi við aldur þeirra og þroska. Börnum skal veitt tækifæri til að tjá sig um eigin málefni við málsmeðferð fyrir dómi eða stjórnvaldi.

Önnur ákvæði Barnasáttmálans

Einnig eru önnur ákvæði Barnasáttmálans sem tryggja réttindi barna og unglinga í hinu stafræna umhverfi. Þar ber helst að nefna rétt barna til upplýsinga og tjáningarfrelsis sem kveðið er á um í 13. gr. sáttmálans, en í 17. gr. er mikilvægi fjölmiðla áréttað og þá tryggir 19. gr. börnum vernd gegn öllum tegundum ofbeldis. 

---

Upp

Vernd barna gegn skaðvænlegum áhrifum stafrænnar upplifunar

Barnasáttmálinn kveður á um rétt barna til þess að leita eftir, taka við og miðla hvers kyns vitneskju og hugmyndum. Netið er frábært verkfæri sem býður börnum upp á endalausa möguleika til fræðslu, leikja, skemmtunar og samskipta, en þar geta þau einnig rekist á efni sem er ekki við hæfi þeirra eða átt í samskiptum sem eru skaðleg heilsu þeirra og velferð.

Skaðvænlegt efni

Um getur verið að ræða efni með ofbeldi, kynferðislegt efni eða annað sem er til þess fallið að valda hræðslu eða óhug. Einnig getur verið um að ræða áróður af ýmsum toga, auglýsingar eða önnur umfjöllun sem ýtir undir t.d. útlitslegar staðalímyndir.

Skaðleg samskipti

Með neikvæðum samskiptum er átt við einhverja tegund félagslegra samskipta sem hefur neikvæð áhrif á börn. Sem dæmi ná nefna neteinelti, nethatur, hótanir, stafrænt kynferðisofbeldi, eða hatursorðræðu sem beinist gegn tilteknum einstaklingum eða hópum. Einnig getur verið um að ræða tjáningu einstaklinga sem ekki er sett fram í neikvæðum tilgangi en sem hefur þrátt fyrir það neikvæð áhrif á aðra. Í dag getur hver sem er með aðgang að snjallsíma eða öðrum tækjum birt efni eins og texta eða mynd- og hljóðupptökur á Netinu. Á mörgum samfélagsmiðlum er hægt að dreifa slíku efni í gegnum netspjall eða beint á tiltekinn notanda. Slíkt efni getur lifað áfram á netinu löngu eftir að það var upphaflega birt og þannig getur dreifing þess orðið mun víðtækari en til stóð.

Einnig getur óhófleg skjánotkun talist til neikvæðra stafrænna samskipta.

Hér má nálgast fræðslu og upplýsingar um netofbeldi og ábyrga netnotkun.

• Saft - fræðsluefni fyrir börn og unglinga  
• Betra að segja en þegja  
• Þú skiptir máli - neteinelti

Hvernig á að vernda börn?

Börn hafa sérstaka þörf fyrir leiðsögn í stafrænu umhverfi og vernd gegn skaðvænlegu efni. Börn eiga eftir að þróa að fullu gagnrýna hugsun og eru því móttækilegri fyrir ýmis konar boðskap og upplýsingum. Því ber að taka sérstakt tillit til barna þegar um er að ræða gagnvirka og stafræna vöru eða þjónustu, þegar notkun er t.d. háð því að börn gefi upp viðkvæmar persónuupplýsingar eða sendi t.d. ljósmyndir af sér.

Vernd barna í fjölmiðlum og við markaðssetningu samkvæmt íslenskri löggjöf

Lög um eftirlit með viðskiptaháttum og markaðssetningu, nr. 57/2005

Í 7. gr. er að finna ákvæði um börn og auglýsingar. Þar kemur fram að auglýsingar verða að miðast við að börn sjái þær og heyri og mega þær ekki misbjóða börnum. Þá þarf að sýna sérstaka varkárni vegna trúgirni barna og unglinga. Ef börn koma fram í auglýsingum verður að gæta þess að þau taki ekki þátt í hættulegu atferli sem geti leitt til þess að þau eða önnur börn komist í hættu eða geri eitthvað sem er óheimilt.

Vörur fyrir börn má því auglýsa og börn mega koma fram í auglýsingum en taka þarf sérstakt tillit til þeirra og þau verða að vera eðlilegur þáttur í því umhverfi sem er sýnt. Neytendastofa, sem fer með framkvæmd laga um eftirlit með viðskiptaháttum og markaðssetningu, gerir þá kröfu að auglýsendur sendi ekki markpóst til barna heldur til forsjáraðila þeirra, sem síðan velja hvort börnunum verði kynnt það sem þar kemur fram.

Reglugerð um viðskiptahætti sem í öllum tilvikum teljast óréttmætir, nr. 160/2009

Þar segir í 28. gr., að það teljist uppáþrengjandi viðskiptahættir, og þar með óréttmætir, að láta í auglýsingu felast beina hvatningu til barna um að kaupa auglýsta vöru eða telja foreldra þeirra eða aðra fullorðna á að kaupa auglýsta vöru handa þeim.

Lög um fjölmiðla, nr. 38/2011

Í 28. gr. laganna er að finna ákvæði um vernd barna gegn skaðlegu efni í hljóð- og myndmiðlum, þ.e. sjónvarpi og efnisveitum sem miðla myndefni eftir pöntun. Ákvæðið byggir á tveggja þrepa kerfi, þar sem gerður er greinarmunur á efni sem haft getur alvarleg skaðvænleg áhrif og efni sem haft getur skaðvænleg áhrif á líkamlegan, andlegan eða siðferðilegan þroska barna. Reglurnar eru misstrangar, eftir því með hvaða hætti efninu er miðlað og aldursmati þess, og frá þeim eru undantekningar.

Undantekningar frá reglunum...

• Efni sem haft getur alvarleg, skaðvænleg áhrif á börn 
  • Bannað er að sýna í línulegri dagskrá efni sem haft getur alvarleg skaðvænleg áhrif á börn. Í þennan flokk fellur fyrst og fremst grófasta efnið: efni sem inniheldur klám og tilefnislaust ofbeldi, með aldursmatið 18. Þótt bannað sé að sýna slíkt efni í línulegri dagskrá er fjölmiðlum heimilt að miðla því eftir pöntun ef tryggt er með tæknilegum ráðstöfunum að börn hafi ekki aðgang að því.
• Efni sem getur haft skaðvænleg áhrif á börn
  • Fjölmiðlaveitu sem miðlar hljóð- og myndefni er óheimilt að miðla efni, sem getur haft skaðvænleg áhrif á líkamlegan, andlegan eða siðferðilegan þroska barna, einkum og sér í lagi efni sem felur í sér klám eða tilefnislaust ofbeldi. Frá þessari reglu eru tvær undanþágur, annars vegar er heimilt að miðla slíku efni í línulegri dagskrá eftir kl. 22 á föstudags- og laugardagskvöldum og eftir kl. 21 önnur kvöld vikunnar. Hins vegar er heimilt að miðla slíku efni eftir pöntun, t.d. í VOD-þjónustu, ef tryggt er með viðeigandi tæknilegum ráðstöfunum að börn hafi ekki aðgang að því. Í framkvæmd hefur fjölmiðlanefnd miðað við að framangreindar undanþágur eigi við um myndefni með aldursmatinu 12 og hærra. Eins má miðla fréttum og fréttatengdu efni, sem ekki er við hæfi barna, ef um er að ræða nauðsynlegan hluta fréttaþjónustu, gegn því skilyrði að á undan sé birt skýr viðvörun og efnið auðkennt með sjónrænu merki. Þá kemur fram í sama ákvæði að aðrar fjölmiðlaveitur skuli kappkosta við að efni sem getur haft skaðvænleg áhrif á þroska barna sé þeim hvorki aðgengilegt né því miðlað til þeirra.

---

Aldursmerkingar

Aldursmerkingar sjónvarpsþátta, kvikmynda og tölvuleikja þjóna þeim tilgangi að vara við efni sem skaðvænlegt er börnum og þroska þeirra. Í sjónvarpi eru kvikmyndir og sjónvarpsþættir yfirleitt merktir með auðkenni sjónvarpsstöðvarinnar, sem ýmist er hvítt, gult eða rautt að lit. Hvítt merki þýðir að efnið er leyft öllum aldurshópum, gult merki táknar að efnið er ekki við hæfi barna yngri en 12 ára. Rautt merki þýðir að efnið er ekki við hæfi barna yngri en 16 ára.

Samkvæmt lögum nr. 62/2006 um eftirlit með aðgangi barna að kvikmyndum og tölvuleikjum skal aldursmeta allar kvikmyndir og tölvuleiki sem ætlaðir eru til sýningar, sölu eða annarrar dreifingar hér á landi. Markmiðið er að tryggja vernd og velferð barna og að allt myndefni sé greinilega merkt með aldursviðmiðum. Öll eintök kvikmyndar, sjónvarpsþáttar, eða tölvuleiks skulu merkt upplýsingum um aldursviðmið og tákni sem sýnir um hvers konar efni er um að ræða. Bannað er að sýna börnum undir lögræðisaldri ofbeldiskvikmyndir og tölvuleiki sem ógna velferð þeirra. Þá er bönnuð sýning, sala eða önnur dreifing á slíku efni til barna sem ekki hafa náð lögræðisaldri.[1]

Börn eru vernduð gegn skaðvænlegu efni með aldurstakmörkunum í kvikmyndahúsum og ákvæðum sem leggja bann við miðlun efnis sem er skaðvænlegt börnum með takmörkunum á sýningartíma. Netið er ekki háð sambærilegum skilyrðum, en fyrir alla þá sem bjóða fram þjónustu á netinu sem felur í sér að börn geta séð skaðvænlegt efni, er mikilvægt að þekkja Barnasáttmálann og þau réttindi sem hann kveður á um.

Mismunandi þroskastig barna hefur áhrif

Við mat á því hvort efni geti haft skaðvænleg áhrif þarf að líta til tilfinningalegs og vitsmunalegs þroska barna sem tekur stöðugum breytingum. Með auknum aldri og þroska barna eykst geta þeirra til að leggja mat á áhættu og skilja afleiðingar gjörða sinna. Yngri börn geta átt í erfiðleikum með að skilja afleiðingar þess að birta myndir eða viðkvæmar persónuupplýsingar um þau sjálf eða aðra.

Hversu víðtæk verndin á að vera fer eftir markhópnum og mismunandi aldurs- og þroskaskeiðum þeirra barna sem um ræðir.

Börn í viðkvæmri stöðu

Tilteknir hópar barna eru talin vera í meiri áhættu en aðrir á því að verða fyrir skaðvænlegum áhrifum af stafrænu efni. Börn með taugasálfræðilegar raskanir nota oft miðla í meira mæli en jafnaldrar og eiga því jafnvel í meiri hættu á að verða fyrir hvers kyns ofbeldi á netinu. Því er mikilvægt að fram fari mat á áhættu fyrir alla þá hópa barna sem til greina koma.

Sjá nánar:

• Fjölmiðlanefnd
• Neytendastofa

Gátlisti...

• Hafa ber Barnasáttmálann í öndvegi og meginregluna um það sem barni er fyrir bestu.
• Mikilvægt er að þekkja meginreglur um vinnslu persónuupplýsinga og helstu hugtök.
• Persónuupplýsingar eru annað og meira en bara nöfn og heimilisföng. Þær taka til allra upplýsinga sem hægt er að rekja til eða tengja við tiltekinn einstakling.
• Tilgangsreglan hefur áhrif á það hvaða upplýsingum er heimilt að safna, hversu lengi megi vista þær og hvort deila megi þeim með öðrum aðilum.
• Óheimilt er að safna, miðla eða dreifa persónuupplýsingum ef ekki er til staðar heimild skv. persónuverndarlögum.
• Við undirbúning, skipulag og framkvæmd þjónustu ber að halda söfnun persónuupplýsinga í lágmarki og taka mið af sjónarmiðum um friðhelgi einkalífs og rétti barna til verndar. Grípa þarf til aðgerða sem miða að því að koma í veg fyrir áreitni, hótanir og ofbeldi og til þess að vernda börn gegn skaðvænlegu efni.
• Samþykki, samningar, lagaskylda og lögmætir hagsmunir eru dæmi um þær heimildir sem geta legið til grundvallar réttmættri vinnslu persónuupplýsinga.
• Veiting samþykkis þarf að uppfylla skilyrði persónuverndarlaga sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing viðkomandi einstaklings sem hvenær sem er getur dregið það til baka. Samþykki telst þvingað ef það hefur neikvæð áhrif á einstaklinginn, t.d. ef honum er neitað um þjónustu.
• Samþykki þarf að vera veitt með aðgerð af einhverju tagi. Aðgerðarleysi eða þögn nægir ekki til að samþykki teljist hafa verið veitt.
• Sá sem ætlar að vinna með persónuupplýsingar þarf að greina frá því hvaða upplýsingar verði unnið með, í hvaða tilgangi, hvaðan þær komi og hvort miðla eigi þeim til þriðja aðila.
• Þegar um börn er að ræða verða upplýsingarnar að vera barnvænar og á einföldu og auðskildu máli sem hæfir aldri þeirra og þroska.
• Setja þarf ferla fyrir móttöku beiðna um aðgang einstaklinga að upplýsingum um þá sjálfa og um eyðingu persónuupplýsinga (réttinn til að gleymast).

---

Upp

Persónuupplýsingar

Hvaða skilyrði þarf að uppfylla til þess að geta unnið með persónuupplýsingar?

• Persónuupplýsingar eru allar upplýsingar um persónugreindan eða persónugreinanlegan einstakling eins og nafn, heimilisfang eða kennitala. Ljósmyndir af einstaklingum geta fallið undir skilgreininguna á persónuupplýsingum og jafnvel hljóðupptökur sem eru vistaðar stafrænt þó svo að á þeim sé ekki minnst á nöfn einstaklinga. Sem dæmi má nefna að kennitölur fyrirtækja eru ekki persónuupplýsingar en bílnúmer geta fallið undir þá skilgreiningu, ef unnt er að rekja númerið til einstaklings.
• Vinnsla persónuupplýsinga felur þannig í sér: Söfnun, vistun, miðlun, birtingu o.s.frv. 
• Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum.
• Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við hverju sinni.
• Sá sem ber ábyrgð á vinnslunni þarf að taka afstöðu til þess við hvaða heimild er stuðst áður en vinnslan hefst.
• Til þess að vinnsla persónuupplýsinga sé lögmæt þarf hún jafnframt að vera í samræmi við meginreglur persónuverndarlaga.

Til þess að vinnsla persónuupplýsinga teljist lögmæt þarf vinnsla þeirra að byggja á einhverri af eftirfarandi heimildum:

1. Samþykki þess sem skráður er fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.
2. Vinnslan er nauðsynleg til að efna samning sem sá skráði er aðili að eða til að gera ráðstafanir að beiðni hans áður en samningur er gerður.
3. Vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á þeim sem ákveður vinnsluna (ábyrgðaraðila).
4. Vinnslan er nauðsynleg til að vernda brýna hagsmuni þess sem er skráður eða annars einstaklings.
5. Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. 
6. Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða einhver annar gætir, nema hagsmunir þess sem skráður er eða grundvallarréttindi og frelsi, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum ef um barn er að ræða.

Það þarf ekki alltaf samþykki – en stundum er það nauðsynlegt

Það er algengur misskilningur að ávallt þurfi að liggja fyrir samþykki fyrir vinnslu persónuupplýsinga einstaklinga. Í mörgum tilvikum gerist þess ekki þörf.

Dæmi: Ef senda á vöru sem keypt er á Netinu á heimili kaupandans þarf seljandinn að vinna tilteknar persónuupplýsingar eins og t.d. nöfn og heimilisföng kaupenda. Vinnsla slíkra upplýsinga er því heimil á þeim lagagrundvelli sem byggir á samningi aðila. Ef seljandi vill nýta upplýsingarnar í öðrum tilgangi eins og t.d. til að senda viðkomandi auglýsingabækling, þarf viðskiptavinurinn að veita sérstakt samþykki fyrir því þar sem það samræmist ekki upphaflegum tilgangi vinnslunnar.

Geta börn og unglingar veitt samþykki fyrir vinnslu eigin persónuupplýsinga?

Börn sem hafa náð 13 ára aldri geta samþykkt þjónustu í upplýsingasamfélaginu sem þeim er boðin með beinum hætti og byggir sú vinnsla persónuupplýsinga þá á samþykki þeirra. Sem dæmi um slíka þjónustu má nefna samfélagsmiðla, vefþing, tölvuleiki á netinu og smáforrit. Yngri börn þurfa ávallt samþykki forsjáraðila.

Aldur og þroski hafa áhrif

12. gr. Barnasáttmálans, sem er ein af grundvallarreglum hans, kveður á um stigvaxandi rétt barna, með auknum aldri og þroska, til að hafa áhrif á eigið líf og aðstæður. Ef börn eru orðin 13 ára þarf að leggja mat á það, í hverju tilviki fyrir sig, hvort barnið búi yfir færni til að skilja afleiðingar þess að veita samþykki sitt. Leggja þarf mat á og taka afstöðu til þess hvort barn geti gert sér grein fyrir afleiðingum þess að unnið sé með persónuupplýsingar þeirra, og skilji hvað veitt samþykki fyrir slíkri vinnslu feli í sér, sérstaklega ef um viðkvæmar upplýsingar er að ræða.

Virða þarf rétt barns til upplýsinga og þátttöku og til verndar gegn því sem getur haft neikvæð áhrif á það. Þó svo að hæfni barna til að meðtaka flóknar upplýsingar og gera sér grein fyrir afleiðingum gjörða sinna aukist með aldrinum, þarf alltaf að líta til einstaklingsbundinnar hæfni hvers barns. Sum börn þurfa á meiri stuðningi að halda í samanburði við jafnaldra þeirra, til að skilja mögulegar afleiðingar þess að miðla eigin persónuupplýsingum. Það getur t.d. átt við um börn með þroskaskerðingar. Þar sem aldur barna hefur mikla þýðingu fyrir möguleika þeirra á að veita samþykki getur þurft að staðfesta sérstaklega aldur þeirra.

Barnvænar upplýsingar

Með því að aðlaga upplýsingar að viðtakanda þeirra aukast líkurnar á því að þær komist til skila. Þegar um er að ræða upplýsingar til barna er mikilvægt að hafa eftirfarandi í huga:

• Textinn á að vera skýr, stuttur og kjarnyrtur.
• Ef forsjáraðili þarf að veita samþykki sitt verður að koma skýrt fram að barnið eigi einnig rétt á upplýsingum.
• Forsendur barna eru mismunandi. Þurfa upplýsingarnar að vera á fleiri tungumálum eða er nauðsynlegt að hafa vefþulu á síðunni? Ef vafi leikur á því hvort textinn sé barnvænn getur verið nauðsynlegt að setja á laggirnar sérfræðihóp barna sem getur tekið þátt í að móta textann. 

Til umhugsunar...

• Óháð því hvort barn eða fullorðinn hafi veitt samþykki sitt þarf vinnsla persónuupplýsinga ávallt að uppfylla skilyrði persónuverndarlaga, eins og t.d. hvað varðar fræðslu og öryggi upplýsinga.

• Samþykki forsjáraðila er ekki nauðsynlegt þegar um er að ræða forvarnar- eða ráðgjafarþjónustu sem barni er boðin beint. Tilgangurinn er að tryggja að börn geti leitað sér aðstoðar, stuðnings og ráðgjafar.

• Samkvæmt Barnasáttmálanum eiga öll börn rétt á því að tjá skoðun sína á öllum málum sem þau varða. Líta á til þess hvað sé barni fyrir bestu og leita eftir sjónarmiðum þess eftir því sem aldur þeirra og þroski leyfir áður en annar aðili veitir samþykki sitt fyrir vinnslu persónuupplýsinga um það.

---

Hvaða reglur gilda um samþykki fyrir vinnslu persónuupplýsinga

Þegar vinnsla persónuupplýsinga um einstakling byggir á samþykki hans þarf sá sem ber ábyrgð á vinnslunni að geta sýnt fram á að einstaklingurinn hafi samþykkt það. Samþykki geta verið á mismunandi formi, en þó eru ákveðin grunnskilyrði sem þarf alltaf að uppfylla:

Samþykki verður að vera veitt með sérstakri aðgerð. Þetta þýðir meðal annars að reitur, sem þegar hefur verið hakað í fyrir notandann, telst ekki fullnægjandi samþykki.

Samþykki getur verið veitt með sérstakri yfirlýsingu eða með ótvíræðri staðfestingu. Yfirlýsingin getur verið munnleg, skrifleg eða veitt með rafrænum hætti. Ótvíræð staðfesting getur verið fólgin í því að svara spurningakönnun á netinu, að því gefnu að könnunin uppfylli skilyrði persónuverndarlaga.

Samþykki þarf að vera óþvingað, þ.e. veitt af fúsum og frjálsum vilja. Samþykki sem ekki er hægt að afturkalla án neikvæðra afleiðinga er þvingað.

Samþykki þarf að vera sértækt. Í því felst að einstaklingurinn þarf að vita hvaða persónuupplýsingar á að vinna með og í hvaða tilgangi.

Samþykki á einnig að vera upplýst og þarf ábyrgðaraðili að veita fullnægjandi upplýsingar um vinnslu persónuupplýsinga áður en samþykki er veitt. Engar formkröfur eru gerðar til fræðslunnar en hún á að vera einföld og á auðskiljanlegu máli.

Samþykki þarf að vera ótvírætt, þ.e. það þarf að vera augljóst að skráður einstaklingur hafi samþykkt vinnslu eigin persónuupplýsinga. Ábyrgðaraðili þarf að geta sýnt fram á þetta eins og önnur atriði varðandi samþykki.

Skráður einstaklingur á alltaf rétt á því að draga samþykki sitt til baka og það á að vera jafn auðvelt og að veita það.

Upplýst samþykki barna

Upplýsingar til barna eiga að vera skýrar og settar fram á einföldu og auðskildu máli. Forsendur barna eru afar mismunandi og því er nauðsynlegt að upplýsingar taki mið af þörfum og þroska barna á mismunandi aldri. Til þess að börn geti tekið sjálfstæðar ákvarðanir þurfa þau að skilja hvað þau eru að samþykkja og ábyrgðaraðili þarf að tryggja að svo sé. 

Gátlisti fyrir öflun samþykkis..

• Ganga þarf úr skugga um að samþykki sé sú heimild sem á við um þá vinnslu persónuupplýsinga sem ráðast á í.
• Tryggja þarf að beiðni um samþykki sé skýr og greinileg og aðskilin öðrum skilmálum.
• Samþykki getur ekki verið skilyrði fyrir veitingu þjónustu.

Upplýsa þarf sérstaklega um eftirfarandi atriði:

• Heiti aðila sem er ábyrgðaraðili fyrir vinnslu persónuupplýsinga.
• Heiti persónuverndarfulltrúa ef við á.
• Heiti þriðja aðila sem eftir atvikum mun fá hluta af þeim upplýsingum sem um ræðir.
• Hvernig barn getur dregið samþykki sitt til baka.
• Að synjun samþykkis hafi ekki neikvæðar afleiðingar í för með sér.

Atriði sem þarf að hafa í huga:

• Útskýra þarf af hverju er verið að biðja um persónuupplýsingar og hvað stendur til að gera við þær.
• Þögn, reitir sem búið er að haka í eða aðgerðarleysi er ekki samþykki. Samþykki á að vera virkur og raunverulegur valkostur.
• Allur texti á að vera skýr, einfaldur og auðskiljanlegur.
• Gera á greinarmun milli samþykkis sem tekur til vinnslu persónuupplýsinga sem fram á að fara í fleiri en einum tilgangi og gefa þarf skýra valkosti, með sérstöku samþykki fyrir hvern og einn.
• Óljóst samþykki er ógilt samþykki.
• Skapa þarf ferla fyrir vistun gagna sem varða samþykki og veitingu upplýsinga þar um.
• Ferla fyrir öflun samþykkis þarf að endurskoða með reglulegu millibili.
• Skilja þarf samþykki með skýrum hætti frá öðrum skilmálum samnings.
• Tryggja þarf að til staðar sé ferli fyrir skjóta eyðingu persónuupplýsinga, þegar skilyrði til þess eru uppfyllt.

---

Lögmætir hagsmunir: Þegar stuðst er við nauðsyn vegna lögmætra hagsmuna sem heimild fyrir vinnslu persónuupplýsinga þarf að taka afstöðu til þess, áður en vinnslan hefst, hvort hagsmunir af vinnslu upplýsinga vegi þyngra en hagsmunir og grundvallarréttindi og frelsi hins skráða af vernd viðkomandi persónuupplýsinga, sérstaklega ef um barn er að ræða. Sem dæmi um lögmæta hagsmuni má nefna aðgerðir til að koma í veg fyrir svik en einnig má líta svo á að vinnsla persónuupplýsinga vegna beinnar markaðssetningar sé í þágu lögmætra hagsmuna.

Hvaða hagsmunir vega þyngst? Til þess að komast að niðurstöðu um það hvaða hagsmunir vega þyngst getur verið gagnlegt að framkvæma mat á áhrifum á börn. Matið á að sýna fram á afleiðingar og áhrif á börn sem mismunandi valkostir hafa í för með sér.

• Hver eru áhrifin á börn af þeim valkostum sem til greina koma?
• Felur einhver valkosturinn í sér mikla hættu á því að réttindi barna séu ekki virt og hver eru áhrifin á viðkvæma hópa barna?

Til umhugsunar!

• Börn eru ekki einsleitur hópur heldur einstaklingar með mismunandi forsendur.
• Taka þarf tillit til mismunandi aldurs og þroska.
• Taka þarf ákvörðun um það á hvaða heimild vinnsla persónuupplýsinga skuli byggð áður en söfnun þeirra hefst.
• Skrá þarf niður þá heimild sem vinnsla persónuupplýsinga er byggð á.

Netbirting Ef ábyrgðaraðili ætlar að birta efni með persónuupplýsingum á netinu, þarf birtingin að grundvallast á heimild samkvæmt persónuverndarlögum. Ef um er að ræða ljósmyndir eða annað efni þar sem fjallað er um börn þá njóta þær upplýsingar sérstakrar verndar.

Hver ber ábyrgð á því að tryggja lagagrundvöll vinnslu þegar fleiri en einn aðili á hlut að máli?

Í starfsemi þar sem fleiri en einn aðili á hlut að máli er mikilvægt að allir séu meðvitaðir um ábyrgð sína á vinnslu persónuupplýsinga. Ábyrgðaraðili er sá sem ákveður tilgang og aðferðir við vinnsluna en vinnsluaðili er sá sem vinnur með persónuupplýsingar fyrir ábyrgðaraðilann, á grundvelli samnings þar að lútandi. Vinnsluaðili, sem tekur að sér vinnslu persónuupplýsinga fyrir annan, getur borið sjálfstæða ábyrgð að nokkru leyti.

Mikilvægt er að fyrir liggi hver er ábyrgðaraðili og hver er vinnsluaðili.

Vinnsla persónuupplýsinga getur í sumum tilvikum farið fram á vegum tveggja eða fleiri ábyrgðaraðila. Þegar svo háttar til er ekki hægt að líta svo á að öllu leyti að einn þeirra vinni persónuupplýsingar fyrir hinn, heldur bera þeir báðir, eða eftir atvikum allir, ábyrgð á afmörkuðum þáttum vinnslunnar og teljast vera sameiginlegir ábyrgðaraðilar. Nánar tiltekið þegar fleiri en einn aðili ákveða tilgang og/eða aðferðir við vinnslu.

Skyldur ábyrgðaraðila:

• Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga fari fram í samræmi við persónuverndarlög.
• Ábyrgðaraðili getur falið öðrum aðila vinnslu persónuupplýsinga, þ.e. vinnsluaðila, eins og t.d. skráningu viðskiptavina, veitingu þjónustu o.s.frv. en ekki er hægt að fela öðrum hlutverk ábyrgðaraðila.
• Ábyrgðaraðila ber að tryggja að vinnsla af hálfu vinnsluaðila byggi á skuldbindandi samningi.
• Ábyrgðaraðili skal einungis leita til vinnsluaðila sem getur gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur persónuverndarlaga og tryggi réttindi skráðra einstaklinga.

Skyldur vinnsluaðila:

• Vinnsluaðili má ekki fela öðrum aðila, undirvinnsluaðila, verkefni sem honum hefur verið falið af hálfu ábyrgðaraðila nema með samþykki ábyrgðaraðila.

Vinnsla af hálfu vinnsluaðila skal byggjast á samningi sem skuldbindur hann gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans. Vinnsluaðili ber að einhverju leyti sömu skyldur og ábyrgðaraðili, eins og að skrá vinnslu persónuupplýsinga, grípa til öryggisráðstafana og í einhverjum tilvikum tilnefna persónuverndarfulltrúa. Persónuvernd getur lagt stjórnvaldssektir á ábyrgðaraðila vegna brota gegn ákvæðum persónuverndarlaga en það sama á við um vinnsluaðila.

Ef vinnsla persónuupplýsinga er hluti af starfi einstaklings, er það vinnuveitandinn sem ber ábyrgð, sem vinnsluaðili eða ábyrgðaraðili.

Frekari upplýsingar:

• Almenn viðmið um opinbera umfjöllun um börn
• Viðmið vegna umfjöllunar um börn á samfélagsmiðlum
• Upplýsingar um hvenær má vinna persónuupplýsingar

Upp

Mat á áhrifum á persónuvernd

Hvenær á að framkvæma slíkt mat?

Ábyrgðaraðila ber að framkvæma mat á áhrifum (MÁP) þegar líklegt er að vinnsla geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Þetta á einkum við þegar notast er við nýja tækni og/eða ef vinnsla er sérstaklega umfangsmikil. Einnig ber að líta til eðlis, umfangs, samhengis og tilgangs vinnslunnar.

Hvaða tegundir vinnslu kalla á mat á áhrifum?

Persónuvernd hefur gefið út skrá yfir tegundir vinnslu þar sem skylt er að framkvæma MÁP áður en vinnslan hefst. Þegar tiltekna vinnslu er ekki að finna í viðkomandi skrá er það á ábyrgð ábyrgðaraðila að meta í hverju tilfelli fyrir sig hvort vinnslan krefjist þess að framkvæmt sé mat á áhrifum á persónuvernd.

Mat á áhrifum á persónuvernd þarf að hafa að geyma eftirfarandi lágmarksþætti:

• Kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilgangi vinnslunnar.
• Mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar.
• Mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga.
• Ráðstafanir sem fyrirhugað er að grípa til gegn slíkri áhættu og fyrirkomulag við að sýna fram á að farið sé að persónuverndarlögum.

Ábyrgðaraðilar geta notfært sér mismunandi aðferðafræði við framkvæmd matsins en viðmiðin eru þau sömu. 

• Athugunarlisti vegna framkvæmdar mats á áhrifum.

Mat á áhrifum á börn

Mat á áhrifum á einnig að taka til þeirra sérstöku réttinda sem börnum og unglingum eru tryggð í Barnasáttmálanum. Má þar nefna rétt barna til verndar gegn mismunun og öllum tegundum ofbeldis, þá ber einnig að líta til grundvallarreglna Barnasáttmálans um að börn eigi rétt á því að tjá sig og að taka eigi ákvarðanir út frá því sem þeim er fyrir bestu.

Viðkvæmar persónuupplýsingar

Tilteknar persónuupplýsingar teljast viðkvæmar samkvæmt persónuverndarlögum og eru gerðar strangari kröfur fyrir því að vinna með slíkar upplýsingar.

Viðkvæmar persónuupplýsingar eru upplýsingar sem varða:

• Kynþátt
• Þjóðernislegan uppruna
• Stjórnmálaskoðanir
• Trúarbrögð eða lífsskoðun
• Aðild að stéttarfélagi
• Heilsufarsupplýsingar
• Upplýsingar um kynlíf manna og kynhneigð
• Erfðafræðilegar upplýsingar
• Lífkennaupplýsingar, þ.e. upplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings, t.d. andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar til að persónugreina einstaklinga með einkvæmum hætti

Vinnsla viðkvæmra persónuupplýsinga þarf að byggja á einhverri af þeim heimildum sem fjallað er um ofar í kaflanum og þarf að auki að uppfylla að minnsta kosti eitt eftirfarandi skilyrða:

1. Skráðir einstaklingar veita afdráttarlaust samþykki fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Samþykkið þarf að vera óþvingað, sértækt, upplýst og ótvíræð viljayfirlýsing um samþykki fyrir vinnslu tiltekinna persónuupplýsinga í ákveðnum tilgangi.
2. Vinnslan er nauðsynleg til þess að hinn skráði eða ábyrgðaraðili geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf eða löggjöf um almannatryggingar eða félagslega vernd.
3. Vinnslan er nauðsynleg til að verja verulega hagsmuni þess sem skráður er eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt.
4. Vinnslan er liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttarfélagsleg markmið. Ekki má afhenda öðrum umræddar persónuupplýsingar án samþykkis þess sem á í hlut.
5. Vinnslan tekur einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar.
6. Vinnslan er nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
7. Vinnslan er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fyrir henni er sérstök lagaheimild.
8. Vinnslan er nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og láta í té umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu, enda er hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.
9. Vinnslan er nauðsynleg af ástæðum sem varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja.
10. Vinnslan er nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda er persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.
11. Vinnslan er nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fer fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni þína, einkum þagnarskyldu.

Til umhugsunar! Þó svo að persónuupplýsingar falli ekki undir skilgreininguna á viðkvæmum persónuupplýsingar, geta þær verið þess eðlis að vinnsla þeirra kalli á sérstakar öryggisráðstafanir eða heimildir samkvæmt persónuverndarlögum. Þessar upplýsingar falla í flokk almennra persónuupplýsinga en almennt eru þó gerðar strangari kröfur til vinnslu þeirra en þegar eingöngu er unnið með nafn og heimilisfang. Sem dæmi um upplýsingar sem taldar eru viðkvæms eðlis má nefna upplýsingar um t.d. félagsleg vandamál og fjárhagsmálefni. Sérreglur gilda um upplýsingar um refsiverða háttsemi.

Öryggisbrestur við vinnslu persónuupplýsinga:

Öryggisbrestur er óviljandi eða ólögmæt eyðing persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Ábyrgðaraðili þarf að tilkynna Persónuvernd innan 72 klst. um öryggisbrest sem hefur áhrif á einstaklinga.

Það á við þegar gögnum er óvart eytt, eða dulkóðunarlykill, sem tengir saman auðkenni einstaklinga og dulkóðaðar upplýsingar, tapast. Annað dæmi er ef upplýsingar, sem leynt skulu fara, eru birtar fyrir mistök.

Ábyrgðaraðili þarf að meta allar hugsanlegar afleiðingar öryggisbrestsins, en það fer eftir aðstæðum hvort nauðsynlegt sé að tilkynna um hann til Persónuverndar og upplýsa hina skráðu.

Upp

Réttindi skráðra einstaklinga

Persónuverndarlöggjöfin veitir einstaklingum vernd og aukinn ákvörðunarrétt yfir persónuupplýsingum sínum.

Réttur til fræðslu

Í persónuverndarlögum er fjallað um þær upplýsingar sem á að veita hinum skráða. Veita skal þessar upplýsingar við söfnun persónuupplýsinga og ef fram kemur beiðni þess efnis frá hinum skráða. Upplýsingar skulu vera gjaldfrjálsar, aðgengilegar (t.d. á rafrænu formi) og settar fram á einföldu og auðskildu máli. Einnig ber að veita upplýsingar til þeirra sem það snertir ef öryggisbrestur á sér stað.

Einstaklingar eiga rétt á að sá aðili, sem vinnur með persónuupplýsingar um þá, veiti m.a. fræðslu um eftirfarandi:

• Hver er ábyrgðaraðili vinnslunnar.
• Hvers vegna er verið að vinna með upplýsingarnar.
• Hver lagagrundvöllur vinnslunnar er.
• Hvaða tegundir upplýsinga eru notaðar.
• Hvaðan upplýsingarnar eru fengnar, ef þær koma frá öðrum en hinum skráða.
• Hversu lengi á að varðveita upplýsingarnar.
• Hvort miðla eigi upplýsingunum til þriðja aðila og þá til hvers og hvers vegna.
• Hvort flytja eigi upplýsingarnar úr landi, og þá hvert og hvað eigi að gera við þær.
• Hvort nota eigi upplýsingarnar við gerð persónusniðs.
• Rétt skráðra einstaklinga til að kvarta til Persónuverndar.

Aðgangsréttur

Einstaklingar eiga líka rétt á að fá upplýsingar um það hvort fyrirtæki eða annar aðili vinnur með persónuupplýsingar um þá. Í því felst réttur til þess að fá:

• Staðfestingu á því að unnið sé með persónuupplýsingar viðkomandi.
• Afrit af þeim upplýsingum sem unnið er með og aðrar upplýsingar um vinnsluna.

Upplýsingar við hæfi 

Öll börn eiga rétt á upplýsingum um hvað verður um persónuupplýsingar þeirra. Undirbúa þarf sérstaklega upplýsingagjöf til barna, þar sem börn eru e.t.v. ekki jafn meðvituð um afleiðingar og áhættu sem vinnsla persónuupplýsinga getur haft í för með sér.

Gæta þarf að því að barn fái upplýsingar um þá áhættu sem við á hverju sinni og þær ráðstafanir sem gerðar hafa verið til þess að gera börnum (og eftir atvikum forsjáraðilum þeirra) kleift að skilja afleiðingar þess að deila persónuupplýsingum um sig og veita þeim innsýn í hvernig þau geta verndað eigin persónuupplýsingar.

Upplýsingar til barna eiga að vera knappar og skýrar og taka mið af aldri barnsins. Auk texta geta upplýsingar verið í formi línurits, skýringarmynda eða hreyfimynda sem vekja athygli barna. Ef markhópurinn eru börn á breiðu aldursbili þarf fjölbreytt upplýsingaefni. Ef nýta á eitt og sama efnið fyrir alla aldurshópa verður það að vera auðskilið og aðgengilegt öllum.

Ef samþykki forsjáraðila er áskilið fyrir vinnslu persónuupplýsinga, ber að veita bæði þeim og börnunum sjálfum skýrar og aðgengilegar upplýsingar.

Sérfræðihópar barna 

Við framsetningu upplýsingaefnis fyrir börn þarf að meta áhrif þess á börn. Ein leið til þess að tryggja að upplýsingaefni sé barnvænt er að óska eftir þátttöku barna, t.d. með því að setja á laggirnar sérfræðihóp fyrir börn sem lesa og kynna sér drög að efni og setja fram ábendingar. 

Leiðir til þess að ná til barna

• Leita til skóla eða aðila sem halda úti skipulögðu tómstundastarfi fyrir börn og unglinga.
• Setja fram ósk um þátttöku barna á heimasíðu.
• Óska eftir þátttöku barna með umfjöllun í fréttabréfi.

Hér má sjá dæmi um barnvænt efni

• Barnasáttmáli Sameinuðu þjóðanna
• Skýrsla umboðsmanns barna til Barnaréttarnefndarinnar 2020

Upplýsingar sem ber að veita þegar persónuupplýsinga er aflað frá þriðja aðila

Ef persónuupplýsingar hafa ekki fengist hjá skráðum einstaklingi heldur þriðja aðila skal ábyrgðaraðili skýra honum frá eftirfarandi atriðum:

• Heiti ábyrgðaraðila, eftir atvikum fulltrúa hans, og hvernig sé hægt að eiga í samskiptum við hann.
• Upplýsingar um persónuverndarfulltrúa ef við á, og hvernig sé hægt að eiga í samskiptum við hann.
• Tilgangi vinnslu persónuupplýsinga og lagagrundvelli hennar.
• Hverjir séu viðtakendur persónuupplýsinganna ef einhverjir eru.

Þá ber ábyrgðaraðila að greina hinum skráða frá því, ef við á, að hann geti hafnað því að veita samþykki sitt fyrir vinnslu eigin persónuupplýsinga.

Upp

Réttur til eyðingar (réttur til að gleymast)

Einstaklingar eiga í vissum tilvikum rétt á því að persónuupplýsingum um þá sé eytt, t.d. ef upplýsingarnar eru ekki lengur nauðsynlegar í þágu þess tilgangs sem þeirra var upphaflega aflað. Þetta á líka við um upplýsingar á Netinu. Börn eiga þennan rétt á sama hátt á fullorðnir.

Hvaða skilyrði þarf að uppfylla?

• Ef persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra.
• Ef hinn skráði dregur til baka samþykkið sem vinnslan byggir á.
• Ef eyða þarf persónuupplýsingunum til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila samkvæmt lögum.
• Ef um er að ræða persónuupplýsingar um börn sem safnað var þegar barni var boðin þjónusta í upplýsingasamfélaginu.
• Ef vinnsla persónuupplýsinganna var ólögmæt.

Í hvaða tilvikum er hægt að neita beiðni um eyðingu upplýsinga

• Á grundvelli tjáningar- og upplýsingafrelsis.
• Til að uppfylla lagaskyldu í þágu verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds.
• Á grundvelli almannahagsmuna á sviði lýðheilsu.
• Vegna skjalavistunar í þágu almannahagsmuna, rannsókna á tilteknum sviðum og tölfræðivinnslu.
• Til að stofna, hafa uppi eða verja réttarkröfur.

Leitarniðurstöður á Netinu

Rétturinn til að gleymast á einnig við um leitarniðurstöður á Netinu eða upplýsingar af tiltekinni vefsíðu. Slíka beiðni á að senda ábyrgðaraðila vefsíðunnar, ef henni er hafnað er hægt að senda Persónuvernd kvörtun í ákveðnum tilvikum.

Við meðferð á beiðni um eyðingu persónuupplýsinga þarf að meta hvort réttmætt sé að upplýsingarnar séu aðgengilegar þegar nafni viðkomandi einstaklings er flett upp á vefleitarvél.

Atriði sem líta þarf til:

• Hagsmuna einstaklings af friðhelgi einkalífs og vernd eigin persónuupplýsinga.
• Hagsmuna almennings af því að upplýsingarnar séu aðgengilegar á Netinu.

Við þetta hagsmunamat þarf m.a. að líta til þess:

• Hversu viðkvæmar persónuupplýsingar um ræðir.
• Hvort um sé að ræða opinbera persónu.
• Hvort viðkomandi sé barn.
• Hversu nákvæmar og áreiðanlegar upplýsingarnar eru.
• Hvort almenningur hefur hagsmuni af því að upplýsingarnar séu aðgengilegar.
• Hvort upplýsingarnar eru óhóflegar miðað við upphaflegan tilgang vinnslunnar.
• Hversu neikvæð áhrif aðgengi upplýsinganna hefur á einkalíf viðkomandi.
• Hversu langur tími hefur liðið frá því að upphafleg vinnsla fór fram.
• Hvaðan upplýsingarnar komu upphaflega, þ.e. frá einstaklingum sjálfum eða öðrum og hvort ætlunin hafi verið að gera þær opinberar.
• Hvort upplýsingarnar voru upphaflega gerðar opinberar sem liður í fréttaflutningi eða annarri fjölmiðlun.
• Hvort sá sem birti upplýsingarnar gerði það til þess að uppfylla lögbundna skyldu sem á honum hvílir.

Hér er að finna nánari upplýsingar um réttinn til að gleymast:

• Spurningar og svör á vefsíðu Persónuverndar um réttinn til að gleymast.
• Skiptar skoðanir um réttinn til að gleymast - vefsíða Fjölmiðlanefndar.

Til  umhugsunar...

• Barn sem náð hefur nægilegum aldri og þroska getur lagt fram beiðni um eyðingu persónuupplýsinga, án aðkomu forsjáraðila. Ef slík beiðni er sett fram af hálfu forsjáraðila ber að leita eftir sjónarmiðum barnsins og taka tillit til þeirra.
• Mikilvægt er að auðvelda börnum að óska eftir eyðingu persónuupplýsinga með því að setja fram skýrar og greinargóðar leiðbeiningar.
• Rétturinn til þess að gleymast er ekki algildur og ábyrgðaraðili getur synjað beiðni um eyðingu á grundvelli ákveðinna sjónarmiða. t.d. um tjáningarfrelsi. Vega þarf rétt einstaklings til friðhelgi einkalífs á móti rétti annarra netnotenda til upplýsinga. Það hefur þó áhrif ef upplýsingarnar varða einstakling sem var ólögráða á þeim tíma er þær voru settar fram.
• Það að leitarniðurstöður verði til þess að einstaklingur upplifi áreiti hefur ekki sjálfkrafa í för með sér að fallist verði á beiðni um eyðingu þeirra. Þarna skiptir samhengið máli og hvort um persónulega skoðun einhvers er að ræða. Þá skiptir einnig máli hvar umræddar upplýsingar eru birtar, en gerðar eru minni kröfur til upplýsinga sem settar eru fram á spjallvefjum en þeirra sem koma fram í viðurkenndum og þekktum fjölmiðlum. 

---

Upp

Netverkfæri

Hvernig er hægt að gera netverkfæri aðgengileg fyrir börn og unglinga?

Með netverkfærum er átt við verkfæri sem aðstoða einstaklinga við að tryggja réttindi sín á netinu með einföldum hætti. Réttindi barna og unglinga njóta sérstakrar verndar og því ber öllum sem vinna persónuupplýsingar barna að einfalda börnum og unglingum að gæta eigin réttinda á netinu. Ein leið til þess er að bjóða upp á netverkfæri fyrir niðurhal, eyðingu, takmörkun eða leiðréttingu persónuupplýsinga. Verkfærin má þá nýta til að hlaða niður eigin persónuupplýsingum eða til að koma á framfæri kvörtunum.

Til umhugsunar...

• Netverkfæri verða að vera aðgengileg börnum og unglingum og sýnileg í notendaviðmóti með t.d. táknum. Hér gilda sömu reglur og almennt um upplýsingar til barna og unglinga, þær eiga að vera skýrar, einfaldar og á auðskildu máli.
• Til grundvallar má leggja þá reglu að allar upplýsingar eiga að vera skýrar og skiljanlegar fyrir yngsta markhópinn og taka mið af mismunandi aldri og þroska barna.
• Hafa ber í huga að yngri börn og börn með fatlanir eða raskanir eiga rétt á upplýsingum við hæfi.
• Það kunna ekki allir að meta netverkfæri og sjálfvirka ferla og því þarf einnig að gera ráð fyrir beiðnum og fyrirspurnum sem koma bréfleiðis eða í tölvupósti.

---

Upp

Vistun og vernd persónuupplýsinga

Að lágmarka vinnslu persónuupplýsinga

Öll vinnsla persónuupplýsinga felur í sér ákveðna áhættu og því ber að lágmarka söfnun persónuupplýsinga. Þannig á söfnun og vinnsla persónuupplýsinga að takmarkast við þær upplýsingar sem nauðsynlegar eru fyrir tilgreindan tilgang. Áður en vinnsla persónuupplýsinga á sér stað þarf því að taka afstöðu til þess hvaða upplýsingar eru nauðsynlegar í þeim tilgangi sem stefnt er að.

Sjálfgefin og innbyggð persónuvernd

Kerfi sem safnar persónuupplýsingum á eingöngu að safna nauðsynlegum upplýsingum. Vefsvæði þarf að hanna þannig að forvaldar stillingar tryggi að ekki sé verið að safna, sýna eða dreifa meiri upplýsingum en nauðsynlegt er. Við þróun upplýsinga- og netkerfa þarf því að huga að vernd persónuupplýsinga. Allar stafrænar vörur og kerfi á að hanna út frá þeirri hugmyndafræði að börn eigi rétt á sérstakri vernd og eigi að vera örugg í netnotkun sinni.

Innbyggð persónuvernd:

Ákveðnar ráðstafanir eru innbyggðar í hugbúnað, upplýsingakerfi og vinnslu frá upphafi og eru hannaðar til að fylgja meginreglum persónuverndar. Sem dæmi má nefna sjálfvirka eyðingu, gerviauðkenni, uppfærslur o.s.frv.

Sjálfgefin persónuvernd:

• Felur í sér að sjálfgefið sé að eingöngu sé unnið með nauðsynlegar upplýsingar og ekkert umfram það.
• Tekið er tillit til eðlis, umfangs, samhengis og tilgangs vinnslu þegar unnið er með persónuupplýsingar.
• Sem dæmi ná nefna að aðgengi að tilteknum persónuupplýsingum væri sjálfgefið bundið við þann skráða, sem gæti svo valið hverjum hann veitir aðgang að upplýsingunum.
• Spurningar og svör á vefsíðu Persónuverndar. 

Það er auðveldara að hanna barnvæn kerfi og vörur frá upphafi frekar en að gera barnvænar breytingar á seinni stigum. Hér er hægt að nýta sér mat á áhrifum sem verkfæri til þess að kortleggja og leggja mat á áhættu fyrir börn. 

Vernd barna gegn óæskilegri miðlun persónuupplýsinga

Friðhelgisstillingar smáforrita eiga að vera staðlaðar þannig að gert sé ráð fyrir því að notandinn deili ekki upplýsingum. Sprettigluggar eiga að vara við afleiðingum þess ef notandi (sem er barn) velur að deila upplýsingum. Ákvörðunarferli á að vera í nokkrum skrefum og taka tíma, til þess að gefa börnum nauðsynlegan umhugsunarfrest. Veita á skýrar og barnvænar upplýsingar um hvað samþykki felur í sér og þá áhættu sem felst í því að breyta friðhelgisstillingum í því skyni að deila upplýsingum með öðrum.

Upp

Aldur notenda

Hvenær á að ganga úr skugga um aldur notenda?

Aldur barns hefur áhrif á möguleika þess til að samþykkja vinnslu eigin persónuupplýsinga og á áhættumat. Aðilar sem starfrækja vefsvæði þar sem myndskeiðum er deilt er skylt að grípa til viðeigandi aðgerða til að lágmarka hættuna á því að börn sjái efni sem getur verið þeim skaðvænlegt (eins og ofbeldi eða kynferðislegt efni). Ekki eru til reglur um hvernig eigi að ganga úr skugga um aldur notenda, en meta þarf áhættuna, og könnun á aldri notenda má ekki fela í sér óþarfa vinnslu persónuupplýsinga. Ef mat leiðir í ljós litla áhættu getur það verið fullnægjandi að biðja nýja notendur um að gefa upp fæðingarár sitt eða að fylla út eyðublað til að staðfesta að þeir séu ekki börn undir ákveðnum aldri.

Tilgangsreglan felur í sér að persónuupplýsingar skulu ekki unnar á þann hátt að ósamrýmanlegt sé upphaflegum tilgangi. Tilgangur reglunnar er að tryggja að ekki fari fram vinnsla persónuupplýsinga í öðrum tilgangi en þeim sem byggt var á við söfnun upplýsinga.

Til umhugsunar...

• Taka þarf afstöðu til þess hvort nauðsynlegt sé að ganga úr skugga um aldur notenda.
• Takmarka á alla söfnun persónuupplýsinga við það sem er nauðsynlegt.
• Samkvæmt tilgangsreglunni má ekki fara fram vinnsla á persónuupplýsingum sem safnað er til þess að kanna aldur notenda í öðrum tilgangi.
• Aðilar í tilteknum atvinnugreinum hafa sett sér eigin reglur um aldursviðmið sem geta haft áhrif en þar má sem dæmi nefna aldursmerkingar á tölvuleikjum.

---

Upp

Miðlun persónuupplýsinga til þriðja aðila

Er það heimilt?

Miðlun persónuupplýsinga til þriðja aðila er heimil í ákveðnum tilvikum, t.d. ef mælt er fyrir um miðlunina í lögum. Meginregla Barnasáttmálans um að taka beri ákvarðanir sem varða börn út frá því sem þeim er fyrir bestu, gerir kröfu um að afstaða sé tekin til þess hvort miðlun persónuupplýsinga barna sé æskileg. Virða þarf rétt barna til þátttöku, upplýsinga og einkalífs.

Líklegt er að miðlun sé heimil ef tilgangur vinnslunnar er að afla og síðan miðla upplýsingum til þriðja aðila, og viðkomandi einstaklingar voru upplýstir um það fyrir fram, heimild er til staðar í persónuverndarlögum og vinnslan uppfyllir kröfur laganna að öðru leyti.

Er miðlun upplýsinga hinn upphaflegi tilgangur vinnslunnar?

Áður en söfnun persónuupplýsinga hefst þarf tilgangurinn að liggja fyrir þar sem hann sker úr um hvaða vinnsla persónuupplýsinga er heimil og hversu lengi.

Tilgangsreglan felur í sér að eingöngu er heimilt að safna persónuupplýsingum í skýrt tilgreindum, lögmætum og málefnalegum tilgangi. Eins og áður hefur komið fram eiga skráðir einstaklingar rétt á því að fá upplýsingar um vinnslu persónuupplýsinga þeirra. Það felur í sér rétt til upplýsinga um þá aðila sem upplýsingum hefur verið miðlað til.

Er hinn nýi tilgangur samrýmanlegur upphaflegum tilgangi?

Ef miðlun persónuupplýsinga var ekki upphaflegur tilgangur vinnslu þarf að taka afstöðu til þess hvort hinn nýi tilgangur, að miðla upplýsingum til þriðja aðila, geti verið samrýmanlegur þeim upphaflega. Ef svo er má byggja miðlun upplýsinga á sömu heimild og hinn upphaflegi tilgangur byggði á. Við það mat getur þurft að líta til eftirfarandi atriða:

• Hvaða tegundar eru þær persónuupplýsingar sem til stendur að miðla?
• Er um viðkvæmar persónuupplýsingar að ræða?
• Hvaða vinnslu persónuupplýsinga mega hinir skráðu gera ráð fyrir?
• Hver er tengingin milli upphaflegs tilgangs með vinnslunni og hins nýja tilgangs?
• Hversu samrýmanlegur er hinn nýi tilgangur þeim sem hinir skráðu hafa þegar fengið upplýsingar um?
• Í hvaða samhengi fór söfnun persónuupplýsinga fram?
• Hvert er samband hinna skráðu við starfsemina sem um ræðir?
• Hvaða afleiðingar getur miðlun persónuupplýsinga haft fyrir þá skráðu?
• Til hvaða ráðstafana hefur verið gripið til þess að draga úr áhættu s.s. dulkóðun eða aðgangsstýring?

Hvaða áhrif hefur það ef hinn nýi tilgangur er ekki samrýmanlegur upphaflegum tilgangi?

Ef miðlun persónuupplýsinga til þriðja aðila er ósamrýmanleg upphaflegum tilgangi er um að ræða nýja vinnslu persónuupplýsinga sem byggja þarf á viðeigandi heimild og tryggja að fari fram í samræmi við aðrar reglur persónuverndarlöggjafarinnar.

Til umhugsunar...

• Í kaflanum er fjallað um þær forsendur sem þurfa að liggja til grundvallar löglegri miðlum persónuupplýsinga til annarra aðila. Sá aðili sem upplýsingum er miðlað til þarf sömuleiðis að hafa heimild til þess samkvæmt persónuverndarlögum.
• Ef um persónuupplýsingar barna er að ræða á að veita þeim upplýsingar og eftir atvikum forsjáraðilum þeirra.
• Það er erfiðara fyrir börn að gera sér fyllilega grein fyrir afleiðingum þess að persónuupplýsingum þeirra sé miðlað til þriðja aðila. Það er því afar mikilvægt að tryggja vernd einkalífs barna og persónuupplýsinga þeirra.
• Ríkari kröfur eru gerðar um upplýsingar á einföldu og auðskildu máli þegar veita á þær börnum.

---

Upp

Notkun persónuupplýsinga í markaðssetningu

Er það heimilt?

Undir ákveðnum kringumstæðum er heimilt að nýta persónuupplýsingar við markaðssetningu ef vinnslan uppfyllir skilyrði laga. Ef um er að ræða persónuupplýsingar barna á að byggja á því sem er barni fyrir bestu.

Notkun á persónuupplýsingum barna í markaðsskyni á sér t.d. stað með auglýsingum á samfélagsmiðlum, borðum á vefsíðum eða auglýsingum í tölvuleikjum.

• Nánari upplýsingar um markaðssetningu gagnvart börnum.

Börn eru ekki eins meðvituð um þá áhættu sem fylgir vinnslu persónuupplýsinga en eiga um leið rétt á aukinni vernd. Þess vegna þarf að framkvæma hagsmunamat. Það á sérstaklega við um vinnslu persónuupplýsinga sem framkvæmd er í markaðssetningartilgangi þegar gerð er krafa um skráningu notenda og þegar um er að ræða þjónustu sem beint er sérstaklega að börnum.

Til umhugsunar...

• Börn eiga sama rétt og fullorðnir á því að andmæla því að fá markpóst og ber því að upplýsa um þennan rétt í fyrsta markpóstinum sem sendur er út, eða áður en vinnsla persónuupplýsinga hefst. Setja þarf ferla til að tryggja að markpóstur berist ekki eftir að beiðni þar um hefur borist.
• Auk persónuverndarlaga og Barnasáttmálans eru aðrar reglur sem varða markaðssetningu gagnvart börnum. Frekari leiðbeiningar má finna á heimasíðu Neytendastofu.
• Neytendastofa gerir þá kröfu að auglýsendur sendi ekki markpóst til barna heldur til forsjáraðila þeirra sem síðan velja hvort börnunum verði kynnt það sem þar kemur fram.
  
• Auglýsingar mega ekki misbjóða börnum og sýna þarf sérstaka varkárni vegna trúgirni barna og unglinga.

---

Upp

Staðsetningargögn

Má nýta upplýsingar um staðsetningu barna og unglinga?

Staðsetningargögn eru gögn um t.d. landfræðilega staðsetningu snjalltækja á ákveðnum tímapunkti. Með staðsetningargögnum er hægt að draga ályktanir um einkalíf viðkomandi einstaklinga, eins og um venjur þeirra, búsetu, hreyfingarmynstur og félagsleg samskipti. Þar af leiðandi geta staðsetningargögn verið persónuupplýsingar sem eru viðkvæms eðlis. Almennt má segja að hættan á brotum gegn persónuvernd einstaklinga aukist með auknu magni nákvæmra upplýsinga um staðsetningu þeirra. Jafnvel stök gögn, t.d. nákvæm staðsetning barns á tilteknum tímapunkti, geta verið viðkvæm í skilningi persónuverndarlaga og fyrir vinnslunni þarf því sérstaka heimild. Ef gögnin sýna t.d. fram á reglubundnar heimsóknir á heilbrigðisstofnun, má draga af því ályktanir um heilsufar viðkomandi. Auk þess er ljóst að barn getur verið í hættu vegna upplýsinga sem gera einhverjum kleift að finna staðsetningu þess. Varanleg miðlun slíkra upplýsinga geta þannig brotið gegn réttindum barns.

Til umhugsunar...

• Þegar um er að ræða börn og unglinga á að forðast að nýta staðsetningargögn nema knýjandi þörf sé til staðar, að teknu tilliti til þess sem er talið barni fyrir bestu.
• Byggja þarf á heimildum í persónuverndarlöggjöfinni fyrir nýtingu staðsetningargagna.
• Framkvæma þarf mat á áhrifum, taka til skoðunar á grundvelli hvaða heimildar vinnslan getur átt sér stað, tryggja öryggi gagna og veita hinum skráðu upplýsingar.
• Tryggja þarf að börn og unglingar viti hvenær staðsetningargögnum er safnað, t.d. með því að nýta tákn. Tæknin getur gert það erfiðara fyrir börn að skilja í hvaða tilvikum persónuupplýsingum er safnað og mögulegar afleiðingar þess.
• Ekki er heimilt að vista persónuupplýsingar lengur en nauðsynlegt er og nýta á tiltækar aðferðir sem miða að því að vistaðar upplýsingar séu ekki persónugreinanlegar.
• Auk persónuverndarlaga eru aðrar reglur sem gilda um fjarskiptaöryggi og netöryggi, en Póst- og fjarskiptastofnun gegnir eftirlitshlutverki gagnvart öryggi net- og upplýsingakerfa fjarskiptafyrirtækja.

---

Upp

Foreldrastýring

Með foreldrastýringu er átt við stafrænar lausnir sem gera foreldrum eða forsjáraðilum kleift að takmarka eða stjórna því sem börn og unglingar geta gert á netinu. Stýringin getur falist í takmörkunum á aðgangi að netinu, ákveðinni þjónustu eða smáforritum, hvaða vefsíður er hægt að heimsækja eða takmörkunum á fjárhæðum sem hægt er að nýta til kaupa í smáforritum. Foreldrastýringu er líka hægt að nýta til að fylgjast með því sem börn og unglingar gera á netinu eða hvar þau eru staðsett.

Upplýsingar til barna

Ef sölu- eða þjónustuaðili býður upp á foreldrastýringu ber þeim að veita upplýsingar til barna um það, sem taka mið af aldri þeirra, t.d. með táknum sem sýna fram á að slík stýring sé til staðar.

Einnig er mikilvægt að veita foreldrum upplýsingar um rétt barna til einkalífs en að öðru leyti gilda reglur persónuverndarlaga hvað varðar heimild fyrir vinnslu persónuupplýsinga, öryggi, áhættumat, upplýsingaskyldu o.s.frv.

Ef efnisstýring er hluti af þjónustunni er mikilvægt að upplýsa notendur um áhættu sem getur fylgt slíkri stýringu.

Upp

Gerð persónusniðs

Má nýta persónuupplýsingar barna til að flokka einstaklinga?

Hvað er gerð persónusniðs?

Sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.

Eins og áður hefur komið fram njóta persónuupplýsingar barna sérstakrar verndar en það á ekki síst við þegar búin eru til persónu- eða notendasnið.

Í persónusniðinu felast nýjar persónuupplýsingar sem verða að uppfylla skilyrði persónuverndarlaganna. Með gerð persónusniðs getur ábyrgðaraðili tekið ákvarðanir um einstaklinga sem geta haft miklar afleiðingar, geta skert valfrelsi einstaklinga og tækifæri þeirra.

• Vinnsla persónuupplýsinga sem persónusnið grundvallast á verður að standast lágmarkskröfur persónuverndarlöggjafarinnar.
• Upplýsingaskylda ábyrgðaraðila gagnvart þeim sem skráðir eru felur í sér að upplýsa þarf sérstaklega um gerð persónusniða.
• Ábyrgðaraðilar eru tilkynningarskyldir ef þeir vinna persónuupplýsingar með rafrænni tækni og þar með gerð og notkun persónusniða.

Um vefkökur

Mörg vefsvæði búa til litlar skrár um þá sem heimsækja svæðin, sem eru þá vistuð í tölvum eða öðrum snjalltækjum. Vefkökur eru yfirleitt nauðsynlegar fyrir gerð persónusniðs en að meginreglu til þarf samþykki fyrir notkun þeirra.

Upp

Hönnun sem hefur áhrif á val notenda

Er heimilt að hafa áhrif á val barna og unglinga með hönnun?

Með svokallaðri hnippingu hafa vefsvæði áhrif á val notenda í gegnum hönnunarupplifun. Með því að hnippa í notendur er hægt að hafa áhrif á hegðun þeirra án þess að þeir jafnvel taki eftir því. Það getur verið heimilt, jafnvel þegar um börn er að ræða, en það veltur á tilganginum. Það er jafnvel óheimilt ef barnið hefur takmarkaða eða enga möguleika á að velja milli ólíkra valkosta. Ef notandi getur eingöngu valið já eða nei við spurningunni um tiltekna vinnslu persónuupplýsinga er hægt að hnippa í notendur með því að sýna valkostinn „já“ með stórum og áberandi hnapp sem t.d. er grænn, en sýna valkostinn „nei“ með litlum, lítið áberandi hnappi sem er rauður. Annað dæmi væri að einfalda tiltekinn valkost sem hægt er að velja með því að ýta á einn hnapp á meðan aðrir valkostir fela í sér flóknara ferli og fleiri skref.

Persónuverndarlöggjöfin leggur ekki bann við hnippingu en almennt gengur það gegn meginreglum laganna um gagnsæi og áreiðanleika upplýsinga. Börn og unglingar eiga rétt á upplýsingum við hæfi, sem taka mið af aldri þeirra og þroska, og sem gerir þeim kleift að taka upplýstar ákvarðanir. Það er mikilvægt að komið sé í veg fyrir misvísandi upplýsingar fyrir börn.

Að hnippa í notendur í því skyni að afla samþykkis til tiltekinnar vinnslu persónuupplýsinga getur haft í för með sér ógildingu samþykkis, ef það uppfyllir ekki þær kröfur að vera upplýst og ótvíræð viljayfirlýsing. Að nota hnippingu við staðlaðar aldursupplýsingar getur haft í för með sér að börn og unglingar gefi upp rangan aldur og því ber að forðast það.

Til umhugsunar...

Það er yfirleitt ekki hönnunin eða tæknin sem skapar vandkvæði, heldur aðferðafræðin sem liggur til grundvallar. Sem dæmi má nefna að hnippingu má nýta á hátt sem uppfyllir skilyrði persónuverndarlaga, eins og þegar verið er að hnippa í notendur til þess að beina þeim að þeim valkostum sem veitir persónuupplýsingum þeirra mesta vernd.

---

Meginreglan um gagnsæi krefst þess að upplýsingar og samskipti um vinnslu persónuupplýsinga séu auðveldlega aðgengileg, auðskiljanleg og á skýru og einföldu máli.

Upp

Nettengd leikföng

Hvaða reglur gilda um leikföng sem safna persónuupplýsingum?

Þegar um leikföng er að ræða er sérlega mikilvægt að allar upplýsingar séu einfaldar og skýrar þar sem ekki er hægt að gera þá kröfu til notenda að þeir gangi út frá því að leikföng safni persónuupplýsingum. Því verður að gera þá kröfu að það liggi fyrir við kaup og uppsetningu að leikfangið sé nettengt.

Dæmi um nettengd leikföng og tæki

Með nettengdum leikföngum er átt við leikföng sem búa yfir virkni sem krefst nettengingar.

• Sem dæmi má nefna mjúkdýr sem barn getur talað við og sem tekur upp það sem barnið segir. Hljóðupptakan er síðan vistuð á netþjóni, og greind með raddgreiningartækni, og síðan berast aðlöguð svör frá leikfanginu til barnsins. Þar sem börn geta upplifað að eiga í raunverulegu samtali við leikfangið er augljós hætta á því að þau deili frekar eigin persónuupplýsingum, jafnvel viðkvæmum upplýsingum.
• Annað dæmi eru svokölluð snjallúr, t.d. heilsuúr eða símaúr (snjallúr með fjarskiptabúnaði). Heilsuúr skrá reglulega upplýsingar um hreyfingu barna og senda til vefþjóna þar sem þeim er safnað, þær eru vistaðar og síðan nýttar til þess að búa til yfirlit yfir hreyfingu barns í smáforriti. Símaúr geta verið með staðsetningarbúnaði og eins er í þeim fjarskiptabúnaður og því hægt að hringja bæði í og úr úrinu. Neytendastofa, í samstarfi við Persónuvernd og Póst- og fjarskiptastofnun, rannsakaði nokkrar tegundir símaúra á árunum 2018 – 2019. Í ljós kom að í sumum þeirra voru alvarlegir öryggisgallar. Mikilvægt er að seljendur og neytendur tryggi að slíkur búnaður uppfylli allar öryggiskröfur.
• Raddstýring á heimilum nýtir tækni þar sem hátalarar taka við raddskilaboðum og senda upplýsingar frá netinu til notandans, sem síðan fær fréttir lesnar, eða pantar þjónustu eða vörur. Hátalarar í raddstýringu geta safnað upplýsingum sem notendur hafa ekki í hyggju að deila og ef þeir eru hluti af daglegu heimilislífi er ekki ljóst að notendur séu meðvitaðir um hina viðvarandi söfnun upplýsinga sem þar fer fram.

Vönduð upplýsingagjöf til notenda

Það er brýnt að seljendur nettengdra leikfanga og tækja tryggi að börn, unglingar og forsjáraðilar, fái þær upplýsingar sem þau eiga rétt á. Það er mikilvægt að upplýsingagjöfin taki mið af virkni slíkra tækja og því hvenær er heppilegast að barni séu veittar upplýsingar og hvenær er heppilegast að forsjáraðilum séu veittar upplýsingar.

Upplýsingar við kaup

Ef vara eða tæki vinnur persónuupplýsingar er skylt að upplýsa um það við kaup og fyrir uppsetningu tækisins. Upplýsingarnar geta verið á umbúðum vörunnar og í notendaleiðbeiningum, t.d. með táknum sem sýna fram á að varan sé nettengd og nýti persónuupplýsingar notenda. Auðvelt á að vera að nálgast upplýsingar um persónuverndarstefnu fyrirtækisins og notendaskilmála og án þess að þurfa fyrst að kaupa vöruna eða setja hana upp.

Upplýsingar við uppsetningu

Við uppsetningu á nettengdu leikfangi eða öðru tæki gefst kjörið tækifæri til að upplýsa um virkni þjónustunnar, vinnslu persónuupplýsinga og mögulegar afleiðingar þess, sérstaklega ef uppsetning tækis fer fram í gegnum skjáviðmót. Það á sérstaklega við ef notkun tækisins eftir uppsetningu fer ekki fram í gegnum skjá, sem takmarkar þá möguleika á veitingu frekari upplýsinga.

Hver ber ábyrgð á hverju?

Mismunandi aðilar koma að framleiðslu nettengdra tækja og því er mikilvægt að fyrir liggi hver er ábyrgðaraðili fyrir vinnslu tiltekinna persónuupplýsinga. Ef fyrirtæki hefur samið við annan aðila um tiltekna þjónustu ber fyrirtækið samt sem áður heildarábyrgð, og ber því að tryggja að samningsaðilinn fari eftir þeim reglum sem um vinnsluna gilda. Tryggja þarf nauðsynlegar öryggisráðstafanir til þess að lágmarka áhættu á því að óviðkomandi aðilar komist yfir upplýsingarnar eða geti náð stjórn á tækjunum og þannig t.d. komist að því hvar barn er statt.

Til umhugsunar varðandi nettengd leikföng og tæki...

• Miða staðlaðar stillingar við að þær veiti persónuupplýsingum vernd.
• Forðast ber viðvarandi og óviðkomandi söfnun persónuupplýsinga. Gefa á skýrt til kynna hvenær er verið að safna persónuupplýsingum, til dæmis með því að ljós kvikni þegar tækið er að taka upp hljóð eða myndir eða verið er að safna persónuupplýsingum á annan hátt.
• Einfalt á að vera að slökkva á þeirri virkni sem felur í sér söfnun persónuupplýsinga, með því að t.d. ýta á hnapp. Þá á að vera hægt að nýta leikfangið eða tækið að sem mestu leyti, án nettengingar.
• Notendur nettengdra tækja geta verið fleiri en einn og á mismunandi aldri. Raddstýrð tæki á heimilum safna t.d. persónuupplýsingum um alla fjölskyldumeðlimi og jafnvel gesti þeirra. Nettengd leikföng eru jafnvel notuð af hópum barna, og taka þarf mið af því. Hvað varðar hátalara með snjalltækni getur verið heppilegt að bjóða upp á möguleikann á því að skrá fleiri notendur en einn, til að taka mið af mismunandi aldri þeirra.

---

Upp

Stafræn fótspor og réttindi barna

Persónuupplýsingar barna njóta sérstakrar verndar. Börn eru almennt síður meðvituð um áhættu og afleiðingar vinnslu persónuupplýsinga þeirra og um réttindi þeirra þar að lútandi. Einnig þarf að líta til þeirrar áhættu sem felst í því að safna upplýsingum um einstaklinga yfir langan tíma og að börn í dag eru fyrsta kynslóðin sem hefur allt líf sitt frá fæðingu skrásett í rafræn gögn stofnana og fyrirtækja frá fæðingu.

Orðspor fólks, fullorðinna og barna, mótast í auknum mæli af því sem er til um það á Netinu. Taka þarf tillit til þess að börn hafa ekki náð fullum líkamlegum eða andlegum þroska. Það getur haft mótandi áhrif á sjálfsmynd barna hvaða upplýsingar eru til um þau á Netinu og því ætti að halda þeim upplýsingum í lágmarki.

Börn eiga að fá frjálst rými til að þroskast þannig að þegar þau ná fullorðinsaldri sé ekki til ofgnótt upplýsinga um þau vistaðar hjá einkaaðilum og opinberum aðilum.

• Meira um stafræn fótspor í skólastarfi.

Upp

Stafræn fótspor í skólastarfi

...og notkun upplýsingatæknikerfa og stafrænna lausna í skóla- og frístundastarfi

Stafræn fótspor mynduð í skólastarfi

Á grundvelli Evrópuráðssamnings 108 um vernd einstaklinga varðandi vélræna vinnslu persónu
upplýsinga, sem fullgiltur hefur verið af Íslands hálfu, starfar ráðgefandi nefnd Evrópuráðsins um persónuvernd. Nefndin gaf út skýrslu um vinnslu persónuupplýsinga barna í skólastarfi 15. nóvember 2019. Í skýrslunni er vakin athygli á ýmsum áhættum sem eru fyrir hendi við rafræna vinnslu persónuupplýsinga barna í skólastarfi og í því sambandi m.a. vísað til þess að margt er enn órannsakað um heilsu barna í tengslum við tæknivæðingu í skólastarfi.

Taka þarf tillit til þess að börn hafa ekki náð fullum líkamlegum eða andlegum þroska heldur eru þau í því ferli að þroskast og fullorðnast. Í skýrslunni er einnig vikið að því að orðspor barna mótast í auknum mæli af þeim upplýsingum sem eru aðgengilegar um þau á Netinu og að safn upplýsinga um börn getur, eftir atvikum, orðið hluti af sjálfsmynd þeirra og haft mótandi áhrif á þau. Þá ættu réttindi barna, m.a. til persónuverndar, og möguleikar þeirra á að neyta réttinda sinna að vera tryggð.

Í skýrslunni er jafnframt fjallað um sjálfsákvörðunarrétt barna hvað varðar persónuupplýsingar þeirra og að þegar skóli eða sveitarfélag hefur tekið ákvörðun um hvaða persónuupplýsingar skuli vinna og í hvaða forriti þá hafi börnin lítið raunverulegt val. Í því sambandi sé afar brýnt að skólarnir missi ekki stjórn á persónuupplýsingum barnanna. Það þurfi því að huga vel að lágmörkun gagnasöfnunar og fyrirmælum í vinnslusamningum. Sérstaklega sé varhugavert að gangast við einhliða skilmálum vinnsluaðila, þ.e. þeim aðila sem rekur tiltekið upplýsingatæknikerfi, án tryggingar fyrir því að skilmálarnir geti ekki breyst án samþykkis ábyrgðaraðilans eða að kerfið hætti ekki að virka ef skilmálabreytingum er hafnað.

Í skýrslunni segir enn fremur að huga þurfi að því að skólar hafi í auknum mæli opnað dyr sínar og þar með trúnaðarupplýsingar skólabarna fyrir aðilum á einkamarkaði, bæði hvað varðar forrit sem eru notuð og tæki, og að veita þurfi því sérstaka athygli hvernig þessir aðilar fara með persónuupplýsingar og í hvaða tilgangi. Sérstök athygli er vakin á viðskiptamódeli fyrirtækja sem bjóða skólum upplýsingatækniþjónustu og óska eftir netföngum foreldra og forráðamanna, tengdum reikningum barnanna, í þágu markaðssetningar. Er það áréttað að vinnsla persónuupplýsinga barnanna í þeim tilgangi skólans að mennta börnin, þ.e. vegna verkefnis í þágu almannahagsmuna, ætti ekki að vera notuð í því skyni að markaðssetja aðrar vörur gagnvart fjölskyldum í hagnaðarskyni fyrir fyrirtækið þar sem slík vinnsla er ósamrýmanleg tilgangi vinnslunnar. Þá þarf að veita sérstaka athygli vinnslu falinna gagna, t.d. lýsigagna, sem fyrirtæki nota til að búa til persónusnið í þeim tilgangi að beina að nemendum eða foreldrum og forráðamönnum auglýsingum eða annarri markaðssetningu.

Þá er einnig umfjöllun í skýrslunni sem lýtur að því að horfa verði heildstætt á þær tæknilausnir sem eru notaðar í skólastarfi og hvaða fótspor notkun þeirra skilur eftir sig, bæði stafrænt fótspor og umhverfisfótspor, í lífi hvers og eins barns, t.a.m. samspil tækja og forrita og hvaða upplýsingar fara þar á milli.

Í kjölfar skýrslunnar gaf nefndin út leiðbeiningar um vinnslu persónuupplýsinga barna í skólastarfi, en Mannréttindadómstóll Evrópu styðst meðal annars við leiðbeiningar nefndarinnar við túlkun 8. gr. mannréttindasáttmálans.

Sérstakur sérfræðingahópur um gervigreind, sem settur var á fót af framkvæmdastjórn Evrópusambandsins, HLEG-AI, lagði á það áherslu í ráðleggingum sínum frá 26. júní 2019, um stefnu og fjárfestingar fyrir áreiðanlega gervigreind, að tryggja ætti börnum frjálst og óvaktað rými til að þroskast og að þegar þau færast til fullorðinsára eigi að sjá til þess að þau geti gert það með „hreint borð“ af hvers kyns varðveislu persónuupplýsinga á vegum opinberra aðila og einkaaðila.

Upplýsingatæknikerfi og stafrænar lausnir í skóla- og frístundastarfi

Öll kennsla og notkun gervigreindarkerfa í menntun á að vera í fullkomnu samræmi við grundvallarréttindi að teknu tilliti til viðkvæmrar stöðu barna en sérstaklega þarf að standa vörð um réttindi viðkvæmra hópa eins og barna og fatlaðs fólks.

Upplýsingatæknikerfi geta nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barna. Skólastjórnendur og kennarar þurfa að vera meðvitaðir um að með notkun þeirra getur fylgt áhætta fyrir grundvallarréttindi barna. Til dæmis geta hin ýmsu smáforrit og stafrænar lausnir, eins og upplýsingatæknikerfi, sem hægt er að nota í kennslu, safnað persónuupplýsingum um nemendur á meðan á kennslu stendur.

Heimild samkvæmt persónuverndarlögum þarf að vera fyrir þeirri vinnslu persónuupplýsinga sem fer fram með notkun þess kerfis eða smáforrits sem verið er að nýta. Þeir sem teljast ábyrgðaraðilar að vinnslu persónuupplýsinga (t.d. skólar og íþróttafélög) þurfa að ganga úr skugga um að öryggi upplýsinganna sé tryggt. Þáttur í því að tryggja öryggi þeirra er að athuga hvort persónuupplýsingar séu fluttar út fyrir Evrópska efnahagssvæðið, til dæmis þegar þær persónuupplýsingar sem vistaðar eru í forritinu eða forritið safnar eru hýstar á netþjónum sem staðsettir eru í Bandaríkjunum, s.s. skýjaþjónustur en það er almennt ekki heimilt nema að tryggt sé að það séu fullnægjandi heimildir til flutningsins samkvæmt persónuverndarlögum.

Í Bandaríkjunum er t.d. ekki tryggð samskonar vernd persónuupplýsinga eins og í Evrópu, t.d. um hverjir geti fengið aðgang að upplýsingunum án samþykkis einstaklingsins. Þarlend yfirvöld hafa t.d. ríkar heimildir að lögum til að fá aðgang að persónuupplýsingum sem eru varðveittar þar í landi. Auk þess nýta fyrirtækin persónuupplýsingar viðskiptavina sinna í margvíslegum markaðstilgangi sem er ekki alltaf gerður ljós.

Það getur þurft að framkvæma svokallað mat á árifum á persónuvernd áður en ný tækni er tekin í notkun, t.d. nýtt smáforrit eða upplýsingatæknikerfi, en það er ábyrgðaraðila að framkvæma slíkt mat. Einnig getur reynst þarft að fá ráðgjöf frá persónuverndarfulltrúa.

Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.

Þannig ættu einstakir starfsmenn, svo sem kennarar eða íþróttaþjálfarar, ekki að taka smáforrit, upplýsingatæknikerfi eða aðrar tæknilausnir í notkun án þess að vera vissir um að það sé öruggt og heimildir séu til staðar til að vinna persónuupplýsingar barna í þeim, t.d. með því að bera það undir stjórnendur sem geta tekið ákvarðanir um notkunina.

Foreldrar og börn, eftir því sem við á, þurfa einnig að fá fræðslu um þá vinnslu sem fer fram um börnin með notkun búnaðarins.

Sjá nánar um notkun upplýsingatæknikerfa og stafrænna lausna í skóla- og frístundastarfi í leiðbeiningum fyrir ábyrgðaraðila á vef Persónuverndar.

• Álit/leiðbeiningar norsku ppersónuverndarstofnunarinnar um notkun Google Chromebook og G-Suite í skólum, sem byggist á almennri rannsókn stofnunarinnar á innleiðingu og notkun þessara kerfa hjá sveitarfélögum:
• Ákvörðun dönsku persónuverndarstofnunarinnar um notkun Google Chromebook og G-Suite í grunnskólum Helsingör
• Umfjöllun/fræðsla sænsku pv-stofnunarinnar um notkun stafrænna lausna í kennslu

Leiðbeiningar Persónuverndar um innleiðingu upplýsingatæknikerfa til að vinna með persónuupplýsingar barna

Persónuvernd hefur veitt almennar leiðbeiningar sem sveitarfélög, og aðrir aðilar sem vinna með persónuupplýsingar barna, að breyttum breytanda, þurfa að huga að þegar tekin eru í notkun upplýsingatæknikerfi til að vinna með persónuupplýsingar barna.

Ábyrgðaraðilum ber að fara að öllum kröfum persónuverndarlöggjafarinnar og gera m.a. eftirfarandi:

1. Skilgreina í upphafi og skjalfesta tilgang vinnslu persónuupplýsinga, sem þarf að vera skýr og afmarkaður fyrir hverja vinnsluaðgerð, og leggi heildstætt mat á hvort vinnslan er nauðsynleg í þeim tilgangi. Er t.d. nóg að nota upplýsingatæknikerfi með þeim hætti að kennarar geti miðlað kennsluefni til nemenda?
2. Tryggja að persónuverndarfulltrúi komi að málinu tímanlega og með viðeigandi hætti.
3. Ákveða og skjalfesta á hvaða heimild vinnslan byggist.
4. Gera ítarlega vinnsluskrá.
5. Tryggja að það upplýsingatæknikerfi sem verður fyrir valinu vinni ekki annálagögn eða önnur lýsigögn, hvorki nemenda né foreldra þeirra eða forráðamanna, í þágu markaðssetningar eða við gerð persónusniðs, eftir atvikum með sjálfgefnum stillingum.
6. Leitast við að tryggja að persónuupplýsingar séu varðveittar innan Evrópska efnahagssvæðisins og, ef flytja skal persónuupplýsingar út fyrir Evrópska efnahagssvæðið í einhverjum tilvikum, að fylgt sé tilmælum Evrópska persónuverndarráðsins frá 18. júní 2020 nr. 1/2020 um ráðstafanir vegna flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data), þ. á m. að gerðir séu fullnægjandi samningar um flutninginn sem taka tillit til aðstæðna í því landi sem um ræðir.
7. Framkvæma mat á áhrifum á persónuvernd, í samráði við persónuverndarfulltrúa, þar sem m.a. eftirfarandi er metið:

1. Nauðsyn hverrar vinnsluaðgerðar og þar með hvaða persónuupplýsingar nauðsynlegt sé að vinna með í skilgreindum tilgangi.
2. Áhætta af vinnslunni fyrir persónuvernd skráðra einstaklinga, bæði vinnslunni í heild og hverri einstakri vinnsluaðgerð. Greina ætti uppruna, eðli, sérkenni og alvarleika áhættunnar. Í því felst ekki eingöngu að greina hvað getur komið upp á heldur hvaða áhrif vinnslan getur haft á hina skráðu þrátt fyrir að ekkert kæmi upp á sem og ef eitthvað kemur upp á.
3. Hvaða ráðstafanir fyrirhugað er að grípa til gegn þeirri áhættu, þ. á m.: 
   1. Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að tryggja innbyggða og sjálfgefna persónuvernd þannig að meginreglum persónuverndarlöggjafarinnar sé ávallt fullnægt.
   2. Hvaða tæknilegu og skipulagslegu ráðstafanir eru nauðsynlegar til að tryggja öryggi persónuupplýsinga.
4. Tæknilegar og skipulagslegar öryggisráðstafanir vinnsluaðila og/eða sameiginlegs ábyrgðaraðila
   

8. Leita, eftir atvikum, eftir áliti nemenda, foreldra og forráðamanna við gerð mats á áhrifum á persónuvernd.
9. Tryggja raunverulegan andmælarétt vegna vinnslu sem byggist á 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 21. gr. laganna og 1. mgr. 21. gr. reglugerðarinnar. Í því felst að vera með aðrar raunhæfar lausnir í boði fyrir þá nemendur sem ekki vilja nota tiltekið upplýsingatæknikerfi.
10. Gera fullnægjandi vinnslusamning við vinnsluaðila og eftir atvikum samkomulag sem lýtur að sameiginlegri ábyrgð.
11. Veita skráðum einstaklingum (nemendum, foreldrum og forráðamönnum) fræðslu samkvæmt ýtrustu kröfum 1. og 2. mgr. 13. gr. reglugerðarinnar. Það felur einnig í sér að veita fræðslu í hvert sinn sem t.d. skilmálar vinnsluaðila eða öryggisráðstafanir breytast.
12. Tryggja ávallt lágmörkun gagna skólabarna í upplýsingatæknikerfum. Það felur í sér að gögnum sé eytt um leið og vistun þeirra er ekki lengur í samræmi við skilgreindan tilgang. Ef ekki er hægt að tryggja eyðingu gagna þá þegar þurfa sveitarfélög að skjalfesta rökin fyrir þörf á lengri vistun, t.d. ef tilefni er til að vista verkefni nemenda til lok annar.
13. Framkvæma eða láta framkvæma reglulegar úttektir á vinnsluaðila.
14. Endurskoða mat á áhrifum á persónuvernd reglulega og meta hvort unnið er í samræmi við það og hvort tilefni er til að framkvæma nýtt mat, t.d. ef breyting verður á þeirri áhættu sem fylgir einstökum vinnsluaðgerðum eða á upplýsingaöryggi hjá vinnsluaðila.

Fjarkennsla

Ljóst er að þær sérstöku aðstæður sem hafa verið uppi vegna kórónuveirufaraldursins hafa valdið breyttu starfs- og námsumhverfi þar sem mikilvægt er að geta nýtt tæknilausnir, bæði til heimanáms, kennslu, próftöku og samskipta skóla og heimilis, en mikilvægt er að slíkar lausnir uppfylli þau skilyrði sem sett eru í lögum.

• Á vef Persónuverndar má finna leiðbeiningar um helstu atriði sem hafa ber í huga við nýtingu tæknilausna í fjarkennslu

UppTil baka á netið, samfélagsmiðlar og börn