In het dagelijks leven worden heel wat persoonsgegevens van kinderen verwerkt. Mag dat echter zomaar? Aan welke voorwaarden moet je volgens de privacywetgeving (waaronder de AVG) voldoen wanneer je persoonsgegevens van kinderen verwerkt?
Mag je persoonsgegevens van kinderen verwerken?
Ook onder de AVG en andere privacywetgeving mogen de gegevens van kinderen worden verwerkt. Wel worden kinderen meer beschermd. Privacyrechtelijk worden zij als kwetsbaar gezien. Er wordt namelijk rekening mee gehouden dat zij zich minder goed realiseren wat de gevolgen (waaronder ook de risico’s) kunnen zijn van de verwerking van hun persoonsgegevens. En dat het voor hen moeilijker kan zijn hiertegen bezwaar te maken. Deze bescherming geldt met name voor de verwerking van persoonsgegevens van kinderen voor marketingdoeleinden en het opstellen van persoonlijkheids- of gebruikersprofielen.
Extra zorgvuldigheid bij het verwerken van persoonsgegevens van kinderen
In verband met de hiervoor beschreven kwetsbaarheid moet de verwerkingsverantwoordelijke extra zorgvuldig zijn bij het verwerken van de persoonsgegevens van kinderen. Dat geldt op alle vlakken.
Duidelijk informeren over het verwerken van persoonsgegevens van kinderen
De verwerkingsverantwoordelijke die persoonsgegevens van iemand verwerkt, moet de betreffende persoon (de ‘betrokkene’) hierover infomeren. Dit gebeurt vaak via de privacyverklaring. Worden er persoonsgegevens van kinderen verwerkt? Dan moet deze informatie op zo’n manier worden verstrekt dat zij deze gemakkelijk kunnen begrijpen. Daarbij moet steeds rekening worden gehouden met de gemiddelde leeftijd van de betreffende doelgroep.
Wanneer moet aan deze eis worden voldaan?
Het voorgaande geldt in de eerste plaats wanneer de verwerkingsverantwoordelijke zich (bijvoorbeeld via een website) echt tot kinderen richt. Het is echter ook van toepassing wanneer de verwerker zou moeten weten dat hetgeen wordt aangeboden met name door kinderen wordt gebruikt. Zelfs wanneer dat eigenlijk helemaal niet de bedoeling van de verwerkingsverantwoordelijke is.
Waar moet in ieder geval op worden gelet?
De informatie over het verwerken van persoonsgegevens van kinderen moet in ieder geval aan het volgende voldoen.
De informatie moet op een duidelijke en gemakkelijk toegankelijke manier worden gegeven. Dit betekent dat de ander de informatie gemakkelijk kan vinden en er niet naar hoeft te zoeken. Ook moet de vorm waarin het wordt aangeboden toegankelijk voor kinderen zijn. De informatie kan maar moet niet per se (alleen) schriftelijk te worden gegeven. Een andere vorm is dus ook mogelijk. De app van het spel Candy Crush biedt bijvoorbeeld ook de mogelijkheid de privacyverklaring in spelvorm door te lopen. Deze wordt aangeboden naast de traditionele versie.
Verder moet duidelijke en eenvoudige taal worden gebruikt. Dus geen moeilijke zinnen en/of woorden. Er mag daarbij ook gebruik worden gemaakt van gestandaardiseerde iconen.
De taal waarin de informatie over de verwerking van persoonsgegevens van kinderen wordt gegeven moet zorgvuldig worden gekozen. In de meeste situaties mag er niet vanuit worden gegaan dat kinderen meerdere talen (goed) beheersen. Zo kreeg TikTok van de Autoriteit Persoonsgegevens een boete van € 750.000,– opgelegd. Veel Nederlandse kinderen van onder de 16 jaar gebruiken deze app. TikTok bood de informatie over de verwerking van hun persoonsgegevens alleen in het Engels aan. Dit was niet voldoende.
Toestemming voor het verwerken van persoonsgegevens van kinderen
De AVG geeft voor één situatie waarin persoonsgegevens van kinderen worden verwerkt een bijzondere regeling. Dan is toestemming van een ouder of voogd nodig. Deze situatie komt in hoofdlijnen op het volgende neer:
- een dienst die op afstand en elektronisch aan kinderen wordt aangeboden
- op afstand betekent dat de aanbieder en de koper niet tegelijk fysiek aanwezig zijn
- onder elektronisch valt onder andere ‘online’ en ‘telefonisch’
- aan kinderen aangeboden betekent dat hier bijvoorbeeld in principe niet onder vallen: transacties via websites, waarvan uit de tekst en hetgeen dat wordt aangeboden, blijkt dat deze alleen voor volwassenen zijn bedoeld
- waarvoor gewoonlijk moet worden betaald
- die op verzoek van de koper wordt verricht
- en die plaatsvindt op grond van toestemming.
Voorbeeld
De meeste gegevens die door aanbieders van diensten worden gevraagd, zullen nodig zijn voor de tenuitvoerlegging van de te sluiten overeenkomst. Worden er bijvoorbeeld meer gegevens gevraagd dan daarvoor nodig is? Of willen ze andere dingen met deze persoonsgegevens van kinderen doen dan het nakomen van deze overeenkomst (bijvoorbeeld deze doorverkopen aan een derde)? En is niet één van de andere grondslagen die de AVG noemt voor de verwerking van persoonsgegevens van toepassing? Dan zou voor die verwerking toestemming nodig zijn.
Toestemming ouder/voogd vereist voor verwerken persoonsgegevens van kinderen
Doet zich een situatie als hiervoor beschreven voor? En worden daarbij persoonsgegevens van kinderen verwerkt? Dan moet de gevraagde toestemming worden gegeven door een ouder/wettelijk vertegenwoordiger van dat kind. Dit geldt totdat het kind zestien wordt. Landen kunnen ervoor kiezen deze leeftijd te verlagen. De ondergrens is dertien jaar. In Nederland geldt de grens van zestien jaar.
Uitzondering
Uiteraard zijn er uitzonderingen. De ouderlijke toestemming voor het verwerken van persoonsgegevens van kinderen is niet nodig wanneer het gaat om preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden. Een voorbeeld hiervan zijn de diensten van De Kindertelefoon.
Controle toestemming voor de verwerking van persoonsgegevens van kinderen
De verwerkingsverantwoordelijke moet twee controles uitvoeren. Geeft iemand aan 16 of ouder te zijn, dan moet dit worden gecontroleerd. Gaat het om een kind, jonger dan 16? Dan moet de verwerkingsverantwoordelijke ook controleren of de toestemming voor de verwerking van persoonsgegevens van kinderen door de juiste persoon is gegeven. Hoe ver deze controleplicht gaat, hangt onder meer af van het soort verwerking, de risico’s daarvan en de beschikbare technologie. Soms is het voldoende wanneer dit via een e-mail wordt gedaan. Gaat het om grotere risico’s? Dan kan aanvullend bewijs nodig zijn.
De verwerkingsverantwoordelijke moet zelf inschatten welke controlemaatregelen voldoende zijn. Dat is niet altijd gemakkelijk. Vooral niet omdat bij de controles ook niet onnodig veel informatie mag worden verwerkt. De verwerkingsverantwoordelijke moet kunnen aantonen dat redelijke inspanningen zijn geleverd om te controleren of geldige toestemming is gegeven voor het verwerken van persoonsgegevens van kinderen.
Informatie over de verwerking van persoonsgegevens van kinderen bij toestemming ouders/voogd
Ook wanneer een ouder of voogd toestemming moet geven, moet de informatie over de verwerking van de persoonsgegevens ook voor de kinderen duidelijk zijn. Het is niet voldoende wanneer deze duidelijk is voor de ouders/voogden die toestemming geven voor het verwerken van de persoonsgegevens van kinderen.
Risicobeoordeling verwerking persoonsgegevens van kinderen
Levert de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico op? Dan moet de verwerkersverantwoordelijke een zogenaamde gegevensbeschermingseffectbeoordeling uitvoeren, beter bekend als een DPIA (data protection impact assessment). Daarmee wordt in kaart gebracht welke privacyrisico’s een gegevensverwerking met zich meebrengt. Op basis van de uitkomst hiervan kan de verwerkingsverantwoordelijke zo nodig maatregelen treffen om deze risico’s te verkleinen.
Een DPIA moet worden uitgevoerd wanneer aan bepaalde criteria is voldaan. Omdat kinderen kwetsbaar zijn, is het feit dat er persoonsgegevens van kinderen worden verwerkt één van de indicaties dat een DPIA nodig kan zijn. Of dit daadwerkelijk het geval is, hangt af van de feitelijke situatie.
Wanneer er persoonsgegevens van kinderen worden verwerkt, is het altijd belangrijk na te gaan of een DPIA nodig is.
Vragen over het verwerken van persoonsgegevens van kinderen
Heeft u vragen over het verwerken van persoonsgegevens van kinderen? Wij helpen u graag. Dat geldt ook indien u wil weten wat u (verder) moet doen om aan de eisen van de privacywet- en regelgeving te voldoen. Neem dan vrijblijvend contact op met Cathelijne Elassaiss-Schaap via elassaiss@elassaiss.nl of via 0344 – 227 030.