När efterlevnad för barns data gäller och vad du gör härnäst
Direkt svar
Efterlevnad för barns data gäller när produkt, support, leverantörer, analys eller AI kan behandla personuppgifter om barn.
Vem detta påverkar: Privacy-team, complianceansvariga, produktchefer, jurister, säkerhetsteam och SaaS-grundare
Vad du ska göra nu
- Lista flöden, system och leverantörer där barns data kan förekomma.
- Definiera ägare, trigger, beslutspunkt och minsta bevis för varje flöde.
- Dokumentera den första praktiska ändringen före nästa revision, kundgranskning eller lansering.
När efterlevnad för barns data gäller och vad du gör härnäst
Efterlevnad för barns data gäller när en SaaS-produkt, ett supportflöde, en leverantör, AI-funktion, analys eller kundanvändning samlar in eller använder personuppgifter om barn. Det praktiska svaret är att se var sådan data kan komma in, avgöra om barn är målgrupp, sannolika användare eller finns i kunddata, och göra beslutet till ägare, kontroller och bevis.
GDPR ger barn särskilt skydd. Artikel 8 innehåller extra villkor när samtycke används för informationssamhällets tjänster som erbjuds direkt till barn. Den allmänna åldern är 16 år, men medlemsstater kan sänka den till 13. Under den tillämpliga åldern krävs samtycke eller godkännande från den som har föräldraansvar.
Snabb beslutsregel
Frågan är i scope när barn är avsedda användare, sannolika användare, personer i kunddata eller rimligen kan dyka upp i ett arbetsflöde.
Det omfattar utbildning, hälsa, familj, communities, spel, meddelanden, supportärenden, uppladdningar, inspelningar, fritext, analysdata, AI-prompter och integrationer. B2B tar inte bort analysen.
Vad du gör härnäst
Skapa först en inventering av datapunkter, datakategorier, syften, rättslig grund, ålderssignal, leverantörer, lagring, åtkomst och bevisplats. Bestäm sedan hur ålder hanteras. Ibland är skyddande standardinställningar för alla bättre än mer datainsamling för ålderskontroll.
Granska rättslig grund och samtycke. Samtycke är inte automatiskt rätt val. Om det används måste information, omfattning, återkallelse, föräldragodkännande och bevis fungera i systemen.
Vanliga misstag
Vanliga misstag är att anta att B2B utesluter barn, behandla ålder som en enda fråga, glömma ostrukturerad data och använda samtycke utan fungerande återkallelse. Bra bevis visar scope, ändrade kontroller och ansvariga ägare.
FAQ
När gäller detta för SaaS?
När barn är målgrupp eller sannolika användare, finns i kunddata eller kan förekomma i produkt-, support-, analys-, AI- eller leverantörsflöden.
Vad ska dokumenteras först?
Inventering, åldersmetod, rättslig grund, samtycke eller föräldragodkännande, DPIA-beslut, privacy-defaults, leverantörer, retention och bevisägare.
Källor
Artikeln bygger på GDPR, EDPB:s riktlinjer om samtycke och ICO:s vägledning om Children's Code.
Nyckelbegrepp i den här artikeln
Primärkällor
- General Data Protection RegulationEuropean Union · Åtkomst 19 maj 2026
- Guidelines 05/2020 on consent under Regulation 2016/679European Data Protection Board · Åtkomst 19 maj 2026
- Introduction to the Children's codeInformation Commissioner's Office · Åtkomst 19 maj 2026
- Age appropriate design: age appropriate applicationInformation Commissioner's Office · Åtkomst 19 maj 2026
Utforska relaterade hubbar
Relaterade artiklar
Relaterade ordlistetermer
Redo att säkra din compliance?
Vänta inte tills överträdelser stoppar verksamheten. Få din kompletta compliance-rapport på några minuter.
Skanna din webbplats gratis nu