Foto: Shutterstock / Billion Photos / Barnevakten. Bildet viser en dommerklubbe og en telefon som har teksten personvern.

Personvernbøter som gjelder barn

LISTE MED EKSEMPLER: Her har vi samlet eksempler på bøter som apper, kommuner og til og med barn har fått for brudd på personvernreglene. Eksemplene gjelder kun der barn er involvert.

I mange land må apper, nettsteder, kommuner, skoler eller selskaper be om samtykke fra foreldrene dersom man skal samle inn personopplysninger fra barn under 13 år.

I Europa har vi GDPR-regler og i USA er det COPPA-regler. I Norge er det Datatilsynet som utsteder bøter eller irettesettelser.

Oversikten nedenfor er ikke en fullstendig liste, men viser eksempler på bøter, advarsler eller overtredelsesgebyr.

53 danske kommuner fikk pålegg om å rydde opp

Mange danske kommuner benytter Googles skoleløsning. I januar 2024 fikk 53 kommuner beskjed fra det danske datatilsynet om at kommunene ikke hadde sjekket Googles skoleløsning godt nok. Google tar vare på en del data som kommunene ikke har hjemmel for å gi til Google. Les mer.

Microsoft Xbox fikk bot på 20 millioner dollar

Microsoft ba om fødselsdatoen til brukere av deres spillmaskin Xbox. Selv om brukeren oppga en alder under 13 år, fortsatte Microsoft å be om flere personopplysninger. Amerikanske regler sier at selskapet i tilfelle først må få samtykke fra foreldrene. Les mer i artikkel fra Forbes. Boten ble gitt 9. juni 2023 av FTC, eller mer presist av rettsvesenet i Washington.

Tiktok fikk bot på nesten 4 millarder kroner

15. september 2023 fikk Tiktok en EU-bot på 345 millioner euro fordi selskapet ikke sikret barn godt nok i siste halvår av 2020 som var perioden som ble undersøkt. Funksjonen «family pairing» var ikke trygg nok. Tiktok brukte også manipulerende design slik at folk valgte dårligere personvern.

Tiktok fikk 165 millioner i bot

TikTok fikk en bot på 12,7 millioner pund fra datatilsynet i Storbritannia. App-selskapet gjorde ikke nok for å sjekke alderen til brukerne og samlet derfor inn persondata ulovlig fra mange barn i 2020. Les mer.

Fortnite-selskapet Epic Games fikk bøter på 5 milliarder kroner

Les mer. Oppdatering 20. september 2023: De amerikanske forbrukermyndighetene har fått pengene fra Epic Games og har startet med å gi pengene tilbake til spillerne som ble villedet til å betale Epic Games.

Instragram fikk bot på fire milliarder kroner

Instagrams personverninnstillinger på kontoer som eies av barn og unge førte til at e-postadresser og telefonnumre ble gjort offentlig tilgjengelig. Les mer i Digi.

App samlet ikke inn samtykke fra foreldre

App-selskapet Hyper Beard fikk en bot på 4 millioner dollar for å ha samlet inn personopplysninger fra barn uten foreldrenes samtykke. Boten ble gitt av amerikanske myndigheter i 2020 for brudd på COPPA-reglene. Myndighetene presiserte også at appene henvendte seg direkte til barn. Her er myndighetenes pressemelding.

Tiktok samlet inn barns personopplysninger uten tillatelse

Eierne av Tiktok fikk en bot på 5,7 millioner dollar av amerikanske myndigheter i 2019, ifølge blant annet BBC. Tiktok hadde samlet inn navn, e-postadresser og andre personlige opplysninger om barn. Året etter var det ennå ikke ryddet opp, derfor sendte noen inn klage.

WW fikk bot på 1,5 millioner dollar

App-selskapet Weight Watchers (WW) fikk en bot på 1,5 millioner dollar for å ha samlet inn personopplysninger om barn. Selskapet har blant annet disse appene: Axolochi, Bunnybuns, Chichens, Claberta, Clawbert, Kleptocats, Kleptocats 2, Kleptodogs, Monkeynauts og Nomnoms. Her er myndighetenes omtale.  Saken er også omtalt i Neewsweek.

Youtube og Google fikk bot på 170 millioner dollar

Youtube og Google fikk en bot på 170 millioner dollar i 2019 for å ha samlet inn personopplysninger om barn (brudd på COPPA-reglene). Les myndighetenes omtale.

Tiktok fikk bot for å ikke forklare vilkårene på nederlandsk

Tiktok fikk en bot på 750.000 euro av EU i 2021 fordi appen ikke forklarte vilkårene på nederlandsk, dermed var det også mange barn som opprettet konto i Tiktok uten å forstå personvernkonsekvensene. Les mer her.

Tiktok ble saksøkt for 6 milliarder euro

Tiktok ble saksøkt for 6 milliarder euro i 2021 for å ha hentet inn personopplysninger fra 4,5 millioner nederlendere uten lov. Les mer her. Les også her. Tiktok svarte i april 2022 at nederlandske domsstoler ikke har makt over dem, les på denne nettsiden som forhåpentligvis er med norsk tekst etter at Barnevakten kjørte den gjennom Googles oversettelse.

Bergen kommune har fått flere bøter

Personvernet sviktet da Googles skoleløsning ble innført i tre kommuner som Datatilsynet sjekket. Disse kommunene fikk varsel om irettesettelse fra Datatilsynet. Les mer.

Bergen kommune har tidligere hatt Datatilsynet på nakken, i mars 2020 fikk Bergen en gebyr på 1,6 millioner kroner fordi brukernavn og passord til over 35.000 brukere hadde ligget tilgjengelig for elever og ansatte i grunnskolen. En mye brukt dataløsning i skolene er Feide, og via Feide kan man komme inn i Efeide, det var der personopplysningene i Bergen lå tilgjengelig.

Bergen kommune fikk også en bot på 3 millioner kroner i 2020. Personopplysninger var ikke godt nok sikret i kommunikasjonssystemet mellom skole og hjem. Les mer.

Østre Toten kommune fikk bot

Østre Toten kommune fikk bot på 4 millioner etter en betydelig del av kommunens data ble rammet av hackerangrep, det gjaldt også opplysninger om barn. Les mer.

Ålesund kommune fikk gebyr

Ålesund kommune fikk 50.000 kroner i bot fordi elever på to ungdomsskoler måtte benytte en treningsapp som blant annet måler hjerterytme og hvor man trener. Appen kan avsløre adressen til elever som bor på hemmelig adresse. Les mer i NRK.

Ungdomsskole i Vestby – ingen bot

Elever ved en ungdomsskole i Vestby hadde i en periode tilgang på informasjon som bare var ment for de ansatte på skolen, ifølge en avviksmelding som ble sendt fra kommunen til Datatilsynet sommeren 2023. Elever på skolen kunne lese oversikt over hvilke elever som fikk spesialundervisning. Kommunen skriver at filene inneholdt «følsom informasjon om andre elever».  To elever har sett informasjonen.

Avviket skjedde 19. juni 2023 og ble oppdaget av kommunen 19. september samme år. Den aktuelle skolen har nå nye rutiner som skal sikre at samme type avvik ikke oppstår på nytt. Datatilsynet ga ikke bot, men svarte blant annet at kommunen har «plikt til å dokumentere hvordan dere følger opp håndteringen av bruddet».

Også barn kan få bøter

Barn kan få bøter for å dele nakenbilder. Politiet kan også inndra barns telefoner.

Datatilsynets bøter

Datatilsynet gir mange bøter hvert år for brudd på personvernet generelt, her er tilsynets egen oversikt. Noen av disse gjelder også barn.

Liste over personvernbøter i Europa

Wikipedia har en liste over personvernbøter i Europa. Noen av disse gjelder også barn. Her er en lignende oversikt fra Deloitte.

Bøter som personvernkommisjonen nevner:

Personvernkommisjonen nevner blant annet disse forholdene som har endt med gebyrer til skoleeiere, hvorav noen er i millionklassen:

  • 2019: Mobilapplikasjonen Skolemelding. Gebyr til Oslo kommune, fra Datatilsynet.
  • 2019: Administrative systemer. Gebyr til Bergen kommune, fra Datatilsynet.
  • 2020: Systemer for kommunikasjon mellom skole og hjem. Gebyr til Bergen kommune, fra Datatilsynet. 
  • 2020: Helseopplysninger om barn i læringsplattformen Showbie. Gebyr til Rælingen kommune, fra Datatilsynet.
  • 2021: Treningsapplikasjonen Strava i undervisningen uten at det var gjennomført en personvernkonsekvensvurdering. Gebyr til Ålesund kommune, fra Datatilsynet.
Eksempler som ikke endte i bøter

Nedenfor er noen eksempler på brudd på personvern og som ikke hadde utløst bøter da vi skrev om det.

Feide slapp ut 595.000 fødselsnummer til enkelte selskaper som ikke skulle ha disse, i januar 2024. Feide skriver selv:

«En feil hos oss har ført til at en del tjenesteleverandører har fått mer informasjon enn avtalt når brukere logget inn med Feide mellom 19. – 25. januar. Tjenestene har fått informasjon om fødselsnummeret til brukere som har logget inn, i tillegg til avtalt informasjon de skal motta ved innlogging. I dette tidsrommet har 595 000 personer fått delt fødselsnummer uten at det er avtalt. Feilen hos oss ble rettet 25. januar klokken 14.00.» Nettstedet Digi har skrevet om dette.

Youtube undersøkes for brudd på personvernet overfor barn. Selskapet kan stå overfor en bot dersom det viser seg å være riktig at nettstedet har sanket inn personopplysninger fra millioner av barn. Blir Youtube felt i Storbritannia, kan man anta at samme forhold gjelder for norske barn. Les mer.

 (Hovedbilde øverst: Foto: Shutterstock / Billion Photos / Barnevakten.)

Artikkelen ble publisert 5. mai 2022 og har blitt oppdatert senere.

Les også: