Foto: Shutterstock / DimaBerlin

Hva sier GDPR om alderskontroll på sosiale medier?

EU sier at det er er lov å samle inn personopplysninger ved alderskontroll på nettet, men dette må skje forholdsmessig til risikoen i tjenesten. Er tjenesten trygg for alle, også for barn, da kan man ikke kreve personopplysninger i en alderskontroll.

Publisert |Av Sjur Jansen|KategorierMyndigheter, Sosial på nett, Aldersgrenser, Spilling, Tv/film, Aldersgrenser
Alderskontroll, aldersverifisering eller aldersforsikring?

Først litt semantikk: På norsk bruker man gjerne ord som aldersverifisering eller aldersbekreftelse. Det er ord som kan  gi inntrykk av at man blir helt sikker på brukerens alder, for eksempel fordi alderen knyttes til en ID.

Det finnes også aldersløsninger som ikke tar utgangspunkt i ID, men benytter aldersskanning av ansiktet. Slik teknologi kan ikke bekrefte alderen helt, men kan sannsynliggjøre en alder innenfor en margin på et par år. Derfor har Barnevakten gått over til å bruke ordet alderskontroll, vi synes det ordet kan dekke både ID-basert og ansiktbasert sjekk.

Disse ordvalgene er kanskje mest for nerder, men det kan være viktig å nevne. For straks skal du møte enda et ord fra EU.

Hvordan gjøre alderskontroll GDPR-vennlig

The European Data Protection Board (EDPB) er en uavhengig EU-organisasjon som overvåker GDPR-reglene og utvikler retningslinjer for hvordan GDPR skal tolkes og brukes i praksis.

EDPB har nylig uttalt seg om alderskontroll og GDPR: edpb-om-alderskontroll (PDF).

EDPB kaller alderskontroll for «Age assurance», altså aldersforsikring, for å dekke ulike varianter av alderskontroll. Og da fikk vi enda et ord å tenke på. Men i grunnen handler alt om det samme: Hvordan man man til en viss grad sjekke at alderen til brukerne i sosiale medier er innenfor vilkårene? La oss kalle det alderskontroll heretter:

The European Data Protection Board skriver at alderskontroll kan utgjøre en personvernrisiko. I tillegg kan alderskontroll angripe folks rett til frihet, rett til å skaffe seg informasjon, rett til å uttrykke seg og rett til sikkerhet.

I tilfeller der alderskontroll omfatter barn, skal barnets beste være hovedhensynet, skriver EDPB, som videre presiserer at barns rettigheter ikke er hierarkisk sortert. Man skal vektlegge både personvern, beskyttelse mot vold, retten til å få informasjon og så videre.

EDP skriver at alderskontroll skal være proposjonal. Styrken på kontrollen skal måles mot risikoen i tjenesten og mot folks andre rettigheter. Tjenesteleverandøren bør bevisst gå gjennom hvilken risiko barn utsettes for i tjenesten. Dette kan tolkes til at hvis det er høy risiko for barn som benytter tjenesten, bør alderskontrollen være mer omfattende og presis.

GDPR krever at tjenesteleverandøren gjennomfører en såkalt DPIA, det er en personvernkonsekvensvurdering (fun fact: Det ordet har 28 bokstaver). Dette gjelder også ved innføringen av alderskontroll. DPIA skal inneholde en vurdering av nødvendigheten og proporsjonaliteten av tiltaket, og skal inneholde tiltak for å redusere risikoer.

Det betyr at dersom innholdet i en tjeneste er egnet for alle målgrupper, også for barn, da er det ikke proposjonalt å kreve alderskontroll som tar utgangspunkt i personopplysninger.

Alderskontroll må ikke føre til unødvendige personvernrisikoer for enkeltpersoner, skriver EDPB. Alderskontroll må ikke gi ytterligere mulighet for tjenesteleverandører til å identifisere, lokalisere, profilere eller spore enkeltpersoner.

EU mener altså at det er lov å benytte personopplysninger til alderskontroll, men det må være nødvendig og forholdsmessig og må ikke oppfylle formål som ikke er relatert til selve aldersbekreftelsen.

En person som må bekrefte sin alder for å få tilgang til voksent innhold, må altså kunne forevnte at tjenesteleverandøren ikke utnytter alderskontrollen til å finne personens nøyaktige geografiske plassering eller til å utlede personlige aspekter ved identiteten.

Alderskontrollen skal ikke muliggjøre profilering av brukere med hensyn til tilpasset annonsevisning, for eksempel. Barnevakten tolker disse reglene til at dette gjelder selve alderskontrollen og at for eksempel sosiale medier står fritt til å be om personopplysninger andre steder enn i alderskontrollen.

Tjenesteleverandører bør tilby alternativ alderskontroll for personer som ikke kan eller vil benytte en bestemt form for alderskontroll.

Personopplysninger som er samlet inn ved alderskontroll, skal ikke kombineres med tilleggsdata og skal ikke gjenbrukes.

Proposjonalitet betyr at dersom tjenesten må vite om brukeren er over eller under en viss alder, så kan dette ordnes ved at en tredjepart gir beskjed til tjenesten om at personen er innenfor aldersgrensen, uten å oppgi alderen. (Se avsnitt 24 i PDF-en).

Alderskontrollen bør være allment tilgjengelig. Dersom noen er fare for å bli diskriminert fordi alderskontrollen krever bestemte ID-bevis, eller brukeren mangler telefon eller er funksjonshemmet, bør alternative alderskontroller tilbys, når det er rimelig mulig.

Tjenesteleverandøren må være åpen om hvilke personopplysninger som blir behandlet i alderskontrollen, om de blir delt og hvor lenge de blir oppbevart. Åpenhet er ekstra viktig for barn. Hvordan personopplysninger blir benyttet, skal forklares slik at barn forstår.

Brukerne skal få opplyst hvem de kan kontakte hos tjenesteleverandøren for å utøve sine rettigheter. (Dette kan tolkes som at brukerne skal ha klagemulighet på alderskontrollen, se avsnitt 36 i PDF-en.)

(Hovedbilde øverst: Shutterstock / DimaBerlin)

Les mer

Barnevaktens forslag til personvernvennlig alderskontroll