Artikel i forbindelse med udsendelse af nyhedsmail den 7. marts 2024.

I december 2023 er der sket ændringer i den danske databeskyttelseslov (DBL). Lovændringerne trådte i kraft den 1. januar 2024.

Ændring af DBL § 6 – aldersgrænsen for børns selvstændige samtykke i forbindelse med udbud af informationssamfundstjenester

En informationssamfundstjeneste er defineret via Informationsproceduredirektivet (EU) 2015/1535 som “en tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager.” Det er ikke et krav, at tjenesten konkret ydes mod betaling. Omfattet af definitionen er f.eks. tjenester, som udbyder e-handel og online spil, søgemaskiner, musiktjenester og sociale medier.

Databeskyttelsesloven § 6 er fastsat tilbage i 2018 og det tidligere stk. 2 udmønter artikel 8 i databeskyttelsesforordningen og fastsatte tidligere, at i det omfang samtykkereglen i forordningens art. 6, stk. 1, litra a, finder anvendelse i forbindelse med udbud af informationssamfundstjenester direkte til børn, er behandling af personoplysninger om et barn lovlig, hvis barnet er mindst 13 år. Når et barn har denne alder, kan barnet dermed selv meddele samtykke til anvendelse af informationssamfundstjenester, såsom Facebook, Instagram og Snapchat – i dag også nogle vi kender som ”tech-giganter”.

Tech-giganter er defineret som en mindre skare af virksomheder, der på kort tid har indtaget en dominerende rolle i samfundet, da de driver den digitale udvikling. Man har dog i mange år været opmærksom på de udfordringer som tech-giganterne giver i vores samfund og særligt i vores dagligdag. Blandt andet lægges der vægt på, at deres forretningsmodeller i høj grad er baseret på at fastholde os foran skærmen gennem algoritmer, som er umulige at gennemskue. Samtidig indsamler tech-giganterne store mængder personlige oplysninger om både børn og voksne. Oplysninger, de kan bruge til at forudsige og påvirke adfærd og holdninger med konsekvenser for den demokratiske samtale. Som følge heraf nedsatte regeringen i 2022 en ekstern ekspertgruppe, som skulle understøtte arbejdet med at sætte rammerne for tech-giganterne. I juni 2023 afleverede ekspertgruppen 13 konkrete anbefalinger til, hvordan man bedre kan håndtere nogle af de problemstillinger, der er forbundet med tech-giganternes platforme. Et af disse forslag er at hæve aldersgrænsen for børns samtykke fra 13 til 16 år, da der mange andre steder i EU også er en aldersgrænse for sådant samtykke på 16 år, blandt andet i Tyskland, Holland og Irland.  Den danske regering har dog valgt at gå med en hævning af aldersgrænsen fra 13 til 15 år. Det betyder, at aldersgrænsen hæves fra 13 til 15 år for f.eks. e-handel, onlinespil og sociale medier.

I praksis betyder dette, at nye samtykker fra børn til brugen af informationssamfundstjenester ikke kan indhentes, før barnet er fyldt 15 år. Er barnet under 15 år, skal der indhentes samtykke fra forældremyndighedsindehaver til brug af tjenesten. Loven er ikke med tilbagevirkende kraft, og derfor er de samtykker, der er indhentet fra børn, som var 13 år før januar 2024, fortsat gyldige.

Det er vigtigt at bemærke, at forhøjelsen af aldersgrænsen kun finder anvendelse på informationssamfundstjenester udbudt fra en etablering i Danmark eller fra en etablering i et tredjeland. Forhøjelsen finder – lige som de øvrige dele af databeskyttelsesloven – ikke anvendelse på informationssamfundstjenester udbudt fra en etablering i andre EU/EØS lande. For disse tjenester gælder etableringslandets aldersgrænse, som allerede beskrevet, i en række tilfælde er højere end aldersgrænsen i Danmark.

Ændringen af lovforslaget kan tænkes at have virkning i forhold til den samlede vurdering af, hvornår børn selv er i stand til at samtykke til fx brugen af billeder, men vi er nødsaget til at afvente Datatilsynets praksis herpå.

Ændring af DBL § 13 – markedsføring

Lovændringerne af databeskyttelsesloven § 13 kommer i kølvandet på en afgørelse fra Datatilsynet tilbage fra september 2022, den såkaldte SmartResponse-sag. På baggrund af en henvendelse fra Forbrugerombudsmanden indledte Datatilsynet en sag om SmartResponse A/S’ behandling af personoplysninger. Sagen vedrørte bl.a. virksomhedens videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer samt spørgeskemaer, som blev brugt i den sammenhæng. SmartResponse rejste i sagen spørgsmål om, hvorvidt den ordning, som følger af DBL § 13, er forenelig med databeskyttelsesforordningens artikel 6, idet denne bestemmelse efter SmartResponses opfattelse ikke ses at indeholde nogen national adgang til derogation/fravigelse for så vidt angår private virksomheders behandling af personoplysninger med det formål at foretage direkte markedsføring.

Som svar på spørgsmålet udtalte Datatilsynet, at de efter længere tids overvejelse fandt det tvivlsomt, om databeskyttelseslovens § 13 ligger inden for det nationale råderum, som databeskyttelsesforordningens artikel 6, stk. 2-3, tillader. Datatilsynet kom dog ikke med en begrundelse herfor.

Datatilsynets udtalelse understreger dog, at de varetager deres forpligtelse til at sikre, at dansk ret er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens kap. IV.

Dette har lovgiver tilsyneladende taget til sig, og som følge heraf er både stk. 1-3 samt stk. 5-9 i DBL § 13 ophævet. DBL § 13 består således i dag kun af et meget kort stykke (tidligere stk. 4), som lyder:

Inden en virksomhed videregiver oplysninger om en forbruger til en anden virksomhed med henblik på direkte markedsføring eller anvender oplysningerne på vegne af en anden virksomhed i dette øjemed, skal den undersøge i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed.

Hos GapSolution har vi aktivt valgt ikke at støtte ret på DBL § 13 siden SmartResponse sagen i september 2022, da vi ikke ønskede at tage en sådan risiko på vores kunders vegne. Har vi lavet jeres GDPR for jer, vil I således have registreret korrekt hjemmel/behandlingsgrundlag allerede. Sidder I derimod med et behandlingsgrundlag, som peger på DBL § 13, vil vi opfordre til, at behandlingsgrundlaget revideres.

Lovændring om DBL § 6 kan ses på retsinformation: https://www.retsinformation.dk/eli/ft/202312L00079

Læs rapporten fra ekspertgruppen om Tech-giganter her: https://em.dk/aktuelt/udgivelser-og-aftaler/2023/jun/demokratisk-kontrol-med-tech-giganternes-forretningsmodeller

Lovændringerne om DBL § 13 kan ses på retsinformation: https://www.retsinformation.dk/eli/lta/2023/1784

Læs SmartResponse sagen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/smartresponses-behandling-af-personoplysninger-i-forbindelse-med-udbud-af-internetkonkurrencer