Uitleg bij artikel 8 AVG
Toestemming bij kinderen is een ingewikkelde kwestie. Daar lopen veel verschillende regimes door elkaar; die regimes zijn per land verschillend en binnen een land ook weer per sector verschillend. Daarbij spelen met name de toestemmingsvereisten binnen gewone contractuele en soortgelijke relaties een rol en de vraag of kinderen dergelijke relaties mogen aangaan (in Nederland is dit geregeld in het Burgerlijk Wetboek). Daarbij speelt onder meer een rol wat in het maatschappelijk verkeer gangbaar is. Ten aanzien van bijzondere relaties, bijvoorbeeld voor medische aangelegenheden, spelen tal van bijzondere regels over wie er mag beslissen: het kind, de ouders, de ouders en het kind, de ouders, maar met vetorecht van het kind, etc. Ook gelden voor verschillende juridische regimes verschillende leeftijdsgrenzen. Binnen het gegevensbeschermingsrecht is er vaak geworsteld met de toestemming van kinderen voor het verwerken van hun persoonsgegevens: moet dat kunnen, moet dat verboden worden, moet het verwerken van gegevens over kinderen vallen onder het regime van ‘bijzondere persoonsgegevens’ artikel 9 AVG, etc.? Deze en andere varianten zijn vaak de revue gepasseerd bij het vervaardigen van de AVG. Uiteindelijk is gekozen voor een bijzondere regeling ten aanzien van toestemming door kinderen binnen de internetcontext.
Lid 1 geeft aan dat als de legitieme verwerkingsgrond toestemming is en het gaat om een internetdienst (Facebook, TikTok, noem maar op), er drie verschillende regimes gelden. Is het kind 0-12 dan mag het geen legitieme toestemming geven, maar is de toestemming van de ouders (of wettelijk vertegenwoordigers) nodig. Is het kind 16 of ouder, dan mag het zelf toestemming geven, ook al zijn de ouders het daar niet mee eens. Voor de tussenliggende periode, dus als het kind 13, 14 of 15 is, geldt er vrijheid voor landen. Land A kan bijvoorbeeld zeggen dat kinderen pas vanaf hun 16e legitieme toestemming mogen geven en dat een kind tot en met 15 altijd toestemming nodig heeft van zijn ouders om een relatie aan te gaan met bijvoorbeeld Facebook, terwijl in land B kinderen vanaf 13 zelf al toestemming mogen geven. Belangrijk is ook overweging 38 die stelt dat de extra bescherming voor kinderen in het bijzonder geldt voor de verwerking van persoonsgegevens van kinderen voor marketingdoeleinden (bv. behavioural advertising) of voor profiling. Maar, er geldt ook een belangrijke uitzondering voor preventie- en adviesdiensten. Denk daarbij bijvoorbeeld aan 113 zelfmoordpreventie of sites waar kinderen kunnen praten over huiselijk geweld. Als een puber of een kind van bijvoorbeeld 9 daar heen gaat om te chatten met een medewerker, dan mag de site zeker gegevens opslaan. Het kan in veel gevallen belangrijk voor het kind zijn dat de ouders niet weten van zijn hulpvraag. Het kan belangrijk zijn voor deze sites om gegevens van kinderen op te slaan, bijvoorbeeld om te zien of een kind vaker hulp zoekt en of de hulpvraag intensiveert of voor het geval er reden is tot direct ingrijpen. Een kind geeft bijvoorbeeld aan dat vader zo gewelddadig is dat hulpdiensten vrezen voor lijf en leden van het kind, waarop zij hulpdiensten alarmeren.
Lid 2 gaat in op het verificatieprobleem. Hoe weet een internetdienst, zeg Facebook of Tiktok, hoe oud iemand is? Het vragen kan, maar dan vult iedereen de leeftijd in waarop hij zelf toestemming mag geven, net zoals puberjongens op een pornowebsite altijd zullen aanklikken dat ze 18 jaar of ouder zijn. Voor het echt verifiëren van iemands leeftijd zou een dienst bijvoorbeeld kunnen vragen naar een paspoort, maar dan zouden ze daarmee dus weer meer gegevens moeten verwerken, gegevens die ook gemakkelijk misbruikt kunnen worden. Bovendien geeft dat ook geen duidelijkheid, foto’s van een paspoort kunnen redelijk eenvoudig worden gemanipuleerd en anders is het mogelijk om het paspoort van een ander in te scannen. Lid 2 van artikel 8 geeft aan dat een internetdienst ‘redelijke inspanningen’ moet doen om te controleren of iemand oud genoeg is om zelf toestemming te geven. Wat dat inhoudt blijft vaag en geeft daarmee een grote vrijheid aan deze internetdiensten.
Lid 3 geeft ten overvloede aan dat het contractrecht van lidstaten als zodanig niet wordt geraakt door de AVG. Dat recht en alle daarin geldende bepalingen blijft gewoon van kracht, de AVG geeft alleen een bijzondere bepaling voor kinderen die een contractuele relatie willen aangaan met internetdiensten die hun persoonsgegevens verwerken. Op dat specifiek punt gaat de AVG boven het nationale contractrecht. Stel, hypothetisch, land C had in zijn contractrecht opgenomen dat kinderen van 11 ook legitieme toestemming mogen geven aan internetdiensten om hun gegevens te verwerken, dan zet de AVG daar een streep door.
Artikel 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
1.Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt.
2.Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.
3.Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.
Overwegingen
(38) Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist.