Personopplysninger er en handelsvare med enorm markedsverdi. Med et såkalt «informert» samtykke gir barn fra seg det meste av personvernet.
Voksne flest vet i dag at tilsynelatende gratis tjenester som Facebook eller Google har en pris – samtykket forplikter. Det er likevel uklart hva dataene våre brukes til.
Forbrukerrådet beskriver i rapporten «Out of Control» hvordan store mengder data samles fra apper, og deles videre med ukjente aktører. Datatilsynet omtaler markedet som «svært uoversiktlig», og det beskrives som «nærmest umulig for en vanlig forbruker å vite hva slags data som samles inn, og hvem disse dataene deles med».
Voksne har normalt bedre forutsetninger for å ta forhåndsregler og forholde seg til komplekse avveininger. Hvordan skal et barn foreta en krevende avveining av ytelser med ukjent pris, i lys av de omfattende potensielle bruksmulighetene som følger den teknologiske utviklingen?
Rettslig forankring av barns samtykke
Barn er storforbrukere av internett, der personlige data hentes fortløpende for kommersiell utnyttelse. Ved sammenstilling av slike data bygger algoritmer og kunstig intelligens svært detaljerte profiler om den enkelte – profiler som definerer, opprettholder og forsterker hvem barnet antas å være, på ubestemt tid.
Kommersialisering av personlige data utfordrer retten til et privatliv. EU-regelverket GDPR (General Data Protection Regulation) stiller derfor strenge krav til personvern, og enhver data-innsamling krever rettslig forankring. Samtykket er normalt den rettslige begrunnelsen for å samle slike data fra barn.
Et samtykke hviler i prinsippet på en rasjonell avveining, der brukeren veier tilgang til digitale tjenester tyngre enn kostnadene ved innsyn i privatlivet. Men med avtalefrihet følger også ansvar – et ansvar som forutsetter et tilstrekkelig modenhets- og refleksjonsnivå.
I Norge må man derfor være 18 år for å inngå avtaler – med unntak kun for avtaler som normalt er enkle og oversiktlige. Aldersgrensen for å samtykke til data-avgivelse ved barns typiske nettbruk er likevel satt til 13 år. Gjennom denne samtykkekompetansen pålegges barn et ansvar for å vurdere risikoen ved å «selge» sine personlige data til kommersiell utnyttelse - på et komplekst marked få voksne forstår.
En villet og informert handling?
Et gyldig samtykke må etter GDPR være blant annet frivillig og informert, for å sikre at samtykket er en villet og opplyst handling. At barn ofte er digitalt kompetente, betyr imidlertid ikke at de samtidig har forståelse for den underliggende digitale forretningsmodellen. Er det mulig for barn å være «informert» om noe så komplekst – uansett ordvalg?
Det kan synes vanskelig å forene hensynet til innsikt, modenhet og refleksjonsevne med barns samtykkekompetanse for digitale tjenester. Teknologien gir fantastiske muligheter for læring og utvikling - løsningen kan ikke være å holde barna unna.
For store deler av dagens praksis må det likevel spørres: Er et reelt og informert samtykke fra barn i det hele tatt mulig i lys av det intrikate systemet for innsamling og deling av data?