Aktuellt
Artikel
2025.03.19

Behandling av barns personuppgifter – vad är viktigt att tänka på?

Företag kan i olika sammanhang komma att behandla personuppgifter om barn (individer under 18 år), till exempel vid tillhandahållandet av en app där barn skapar användarprofiler, eller någon annan typ av tjänst som riktar sig till barn eller som barn kan använda. Enligt dataskyddsförordningen, GDPR, är barns personuppgifter särskilt skyddsvärda vilket medför att behandling av barns personuppgifter generellt kräver extra omsorg och eftertanke.

Under den senaste tiden har skyddet för barns integritet och rättigheter, särskilt när barn använder online-tjänster, uppmärksammats på flera håll. Till exempel tog Integritetsskyddsmyndigheten (”IMY”) och övriga dataskyddsmyndigheter i Norden under 2024 fram en uppsättning gemensamma principer som rör barn och online-spel. Därtill har Europeiska dataskyddsstyrelsen (”EDPB”) antagit ett ställningstagande rörande verifiering av ålder på minderåriga i februari 2025.

Nedan har vi listat några aspekter som är särskilt viktiga att tänka på vid behandling av barns personuppgifter, och redogör vi kort för den nya vägledningen från nordiska dataskyddsmyndigheter och EDPB.

Generellt om behandling av barns personuppgifter

Det finns inget förbud mot att behandla barns personuppgifter, men barns personuppgifter anses förtjäna särskilt skydd, i synnerhet vid skapandet av användarprofiler och vid marknadsföring. I GDPR framgår att barns personuppgifter förtjänar särskilt skydd eftersom barn är mindre medvetna om riskerna med och följderna av att deras personuppgifter behandlas. Likaså anses barn vara mindre medvetna om skyddsåtgärderna som regleras i GDPR och vilka rättigheter som barn har när deras personuppgifter behandlas.

Eftersom barns personuppgifter är särskilt skyddsvärda kan det i vissa fall krävas att en särskild konsekvensbedömning (”DPIA”) görs innan en behandling utförs. Även övriga bedömningar som gjorts i samband med behandling av barns personuppgifter bör dokumenteras särskilt.

Rättslig grund för behandling av barns personuppgifter

Precis som när det gäller behandling av vuxnas personuppgifter måste det finnas en rättslig grund enligt GDPR för att kunna behandla barns personuppgifter. Vanligt förekommande rättsliga grunder är berättigat intresse, fullgörande av avtal med den vars personuppgifter behandlas, eller samtycke från den vars personuppgifter behandlas. Därutöver finns det särskilda överväganden som måste göras vid bedömningen av rättslig grund för behandling av barns personuppgifter, se några exempel här nedan.

  • Intresseavvägning: För att kunna grunda behandling av barns personuppgifter på intresseavvägning är det nödvändigt att företagets intresse väger tyngre än barnets intresse. I intresseavvägningen måste hänsyn tas till att barns personuppgifter och rättigheter kräver särskilt skydd. Tänk också på att intresseavvägningen ska dokumenteras innan personuppgiftsbehandlingen påbörjas.
  • Samtycke: För att kunna lämna ett giltigt samtycke enligt GDPR krävs att barn är medvetna om riskerna med behandlingen. Om ett barn inte är kapabel till att lämna ett giltigt samtycke på egen hand måste vårdnadshavarnas samtycke inhämtas. I en vägledning från Barnombudsmannen, IMY och Statens medieråd har det till exempel framförts att när det gäller barn under 13 år bör alltid vårdnadshavarens samtycke inhämtas, men barn som fyllt 16 år bör som regel kunna ge ett giltigt samtycke. Vägledningen kan läsas här.
  • Avtal: Som utgångspunkt har barn en begränsad rättshandlingsförmåga vilket innebär att barn inte kan ingå alla typer av avtal och inte kan åta sig förbindelser på egen hand innan de fyllt 18 år. Om inte barn själva kan ingå avtal krävs i de flesta fall i stället att vårdnadshavare företräder barnet och samtycker till avtalet för att det ska vara giltigt.

Kontroll av barns ålder

I vissa fall kan det vara nödvändigt och tillåtet att utföra ålderskontroller, till exempel för att säkerställa att ett barn har uppnått en viss ålder för att kunna lämna ett giltigt samtycke eller för att ingå ett avtal.

I februari 2025 publicerade EDPB ett ställningstagande gällande hur man kan gå till väga vid kontroll av barns ålder (”åldersverifiering”). EDPB:s vägledningen kan läsas här.

Vägledningen anger tio principer för behandling av personuppgifter som uppfyller kraven i GDPR när man fastställer en persons ålder eller åldersintervall. Enligt EDPB ska ett riskbaserat förhållningssätt tillämpas, och åtgärderna för ålderskontroll måste vara proportionerliga i förhållande till vilken tjänst det rör sig om. Det är också viktigt att inte fler personuppgifter samlas in än vad som är nödvändigt för att uppfylla ändamålet att utföra ålderskontrollen. Ett exempel på sätt att utföra en ålderskontroll skulle kunna vara att be användaren att ange sitt födelseår eller på annat sätt bekräfta att de inte är under en viss ålder. Om det uppstår tvivel kring någons ålder kan mer ingående kontroller behöva utföras.

Information till barn om personuppgiftsbehandling

I GDPR uppställs krav på att den information som ges om personuppgiftsbehandling ska vara lättbegriplig och tydlig för mottagaren. Det anges särskilt att eftersom barn förtjänar särskilt skydd, bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå. Beroende på vilken ålder barnet är i kan nivån på språket i informationen därför behöva anpassas.

I vissa fall kan vårdnadshavare anses ta del av information för barnets räkning. Det rekommenderas dock ändå att företag tar fram lättbegriplig och barnvänlig information för att kunna möjliggöra att barn själva kan ta till sig och förstå informationen.

Särskilt om marknadsföring till barn

Vid marknadsföring till barn finns det också vissa särskilda regler att förhålla sig till. Till exempel är det förbjudet att rikta direktreklam till barn under 16 år. Dessutom är det särskilt viktigt att marknadsföringen utformas på ett sätt som gör att barn förstår vad som är marknadsföring och inte. Av den anledningen får inte marknadsföring utformas som till exempel ett spel eller en lek.

Tänk också på att precis som vuxna har barn rätt att när som helst motsätta sig direktreklam. Barn ska informeras om möjligheten att motsätta sig framtida utskick. Om behandlingen av personuppgifter för marknadsföringsändamål grundar sig på en intresseavvägning måste särskild vikt fästas vid barns rättigheter och skydd för barns personuppgifter.

Särskild vägledning kring barn och onlinespel

Som nämns ovan antog nordiska dataskyddsmyndigheter under 2024 särskilda principer för barn och onlinespel. Syftet var bland annat att öka medvetenheten och ge vägledning för att främja barns rättigheter online.

I vägledningen går myndigheterna igenom de grundläggande principerna enligt GDPR, och ger exempel på hur anpassningar kan och bör göras för barn när det kommer till onlinespel. Till exempel ges tipset att illustrationer eller videos kan användas för att underlätta för barn att ta till sig information om hur deras personuppgifter behandlas. Redan under utvecklingsstadiet av ett onlinespel bör hänsyn också tas till att begränsa insamlingen av personuppgifter till vad som är strikt nödvändigt.

Vägledningen från de nordiska myndigheterna kan vara användbar även i andra fall än för onlinespel när barns personuppgifter behandlas. Vägledningen går att läsa i sin helhet här (på engelska).

Vi på Cederquist arbetar löpande med frågeställningar rörande behandling av barns personuppgifter. Om ni har några frågor om behandling av barns personuppgifter, eller dataskyddsfrågor generellt, är ni välkomna att höra av er till oss på Cederquist.

Kontakt

Johanna Linder

Partner

johanna.linder@cederquist.se
+46 8 522 066 31
+46 739 60 66 31

Info

Henrik Lindstrand

Partner

henrik.lindstrand@cederquist.se
+46 8 522 066 43
+46 739 60 66 43

Info

Agnes Norrby

Associate

agnes.norrby@cederquist.se
+46 8 522 065 56
+46 739 60 65 56

Info

Hittar du inte vad du letar efter?

bg