GDPR Artikel 8 behandlar det juridiskt känsliga ämnet ett barns samtycke, i relation till en organisations databehandlingsverksamhet som behandlas utförligt i artikel 7.
Skillnaden i formulering mellan den brittiska och EU-versionen av lagen kretsar till stor del kring hur gammal en person måste vara innan föräldraansvar krävs.
Villkor som gäller för barns samtycke i samband med informationssamhällets tjänster
- När artikel 6 a är tillämplig, i samband med erbjudandet av informationssamhällets tjänster direkt till ett barn, ska behandlingen av ett barns personuppgifter vara laglig om barnet är minst 1 år gammalt. Om barnet är under 16 år ska sådan behandling vara laglig endast om och i den mån samtycke ges eller godkänts av innehavaren av föräldraansvaret för barnet. Medlemsstaterna får i lag föreskriva en lägre ålder för dessa ändamål, förutsatt att en sådan lägre ålder inte är under 16 år.
- Den registeransvarige ska göra rimliga ansträngningar för att i sådana fall verifiera att samtycke ges eller godkänts av innehavaren av föräldraansvaret över barnet, med hänsyn till tillgänglig teknik.
- Punkt 1 ska inte påverka medlemsstaternas allmänna avtalsrätt, såsom reglerna om giltigheten, bildandet eller verkan av ett avtal i förhållande till ett barn.
Villkor som gäller för barns samtycke i samband med informationssamhällets tjänster
- När artikel 6 a är tillämplig, i samband med erbjudandet av informationssamhällets tjänster direkt till ett barn, ska behandlingen av ett barns personuppgifter vara laglig om barnet är minst 1 år gammalt. Om barnet är under 13 år ska sådan behandling vara laglig endast om och i den mån samtycke ges eller godkänts av innehavaren av föräldraansvaret för barnet.
- Den registeransvarige ska göra rimliga ansträngningar för att i sådana fall verifiera att samtycke ges eller godkänts av innehavaren av föräldraansvaret över barnet, med hänsyn till tillgänglig teknik.
- Punkt 1 ska inte påverka den allmänna avtalslagstiftningen som den fungerar i nationell rätt, såsom reglerna om giltigheten, bildandet eller verkan av ett avtal i förhållande till ett barn.
- I punkt 1 omfattar hänvisningen till informationssamhällets tjänster inte förebyggande eller rådgivningstjänster.
För att bilda en rättslig grund för att behandla PII bör organisationer:
För varje punkt som nämns ovan bör organisationer kunna erbjuda dokumenterad bekräftelse.
Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).
Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.
Organisationer bör kunna dokumentera skälen för att söka samtycke och hur det ska inhämtas.
PII-bestämmelserna varierar från region till region, så organisationer måste hela tiden vara uppmärksamma på lokala och/eller nationella lagar och förordningar som kan styra hur de erhåller samtycke, tillsammans med eventuella särskilda villkor kopplade till vissa datatyper (t.ex. barn).
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artikel 8 (1) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU GDPR artikel 8 (2) | ISO 27701 7.2.3 | Ingen |
Vår implementeringsmetod 'Adoptera, anpassa, lägg till' gör det enklare att demonstrera GDPR-efterlevnad med ISMS.online. Ett brett utbud av kraftfulla funktioner kommer också att vara tillgängliga för dig som hjälper dig att spara tid.
Genom att använda vår intuitiva plattform kan du kartlägga ditt arbete över flera standarder och ramverk på kort tid.
Om du inte kan uppnå dina GDPR-mål på grund av brist på självförtroende, förmåga eller drivkraft, kommer våra interna experter att finnas tillgängliga för att hjälpa dig eller så rekommenderar vi en pålitlig partner som hjälper dig.
Ta reda på mer av boka en demo.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
