Två regelverk skyddar framför allt ditt barns data: COPPA i USA och GDPR i Europa. Båda finns eftersom små barn inte kan ge giltigt samtycke till att spåras. Men att veta en lags namn säger inte om appen i barnets händer verkligen är säker — här är vad varje regelverk kräver, och tvåminuterskollen som ger svaret.
De två lagar som skyddar ditt barns data
COPPA — USA
Children's Online Privacy Protection Act (COPPA) gäller onlinetjänster som riktar sig till barn under 13 år, eller som medvetet samlar in data från dem. Kärnregeln: appen måste inhämta verifierbart föräldrasamtycke innan den samlar in ett barns personuppgifter. Och ”personuppgifter” är brett: inte bara namn och e-post, utan även bestående identifierare som spårar barnet mellan appar, exakt plats samt foton, video och ljudinspelningar. COPPA övervakas av den amerikanska konkurrens- och konsumentmyndigheten FTC.
GDPR — EU och Storbritannien
Dataskyddsförordningen (GDPR) anser att barn förtjänar särskilt skydd. För en onlinetjänst som erbjuds ett barn måste samtycket ges eller godkännas av en förälder så länge barnet är under en ålder som varje land fastställer — 16 år som standard, sänkt till som lägst 13 i vissa länder. I Storbritannien går Age Appropriate Design Code från tillsynsmyndigheten ICO ännu längre och kräver höga integritetsinställningar som standard och dataminimering för tjänster som barn kan använda.
Vad lagarna kräver, i korthet
- Vem de skyddar: COPPA barn under 13; GDPR barn under 13–16, beroende på land.
- Huvudkrav: föräldrasamtycke innan data samlas in, plus höga integritetsinställningar som standard (brittiska barnkoden).
- Vad som räknas som data: namn och kontakt, men även spårningsidentifierare, exakt plats, foton och ljud.
- Vem som övervakar: i USA FTC; i Europa de nationella dataskyddsmyndigheterna.
- Enklaste sättet att följa reglerna: samla inte in något. En app utan insamling behöver inget samtycke och har inget att förlora.
Haken: lagen är golvet, inte taket
Det här missar många föräldrar: båda lagarna bygger framför allt på samtycke. En app får alltså samla in — och till och med dela — mängder av data, så länge den frågar föräldern först. I praktiken ligger samtycket ofta begravt i registreringen, och många ”barnvänliga” appar följer reglerna på pappret men bäddar ändå in annons-SDK:er som kartlägger ditt barn. Att följa reglerna betyder att appen gjorde rätt, inte att den inte samlar in något. Och den skillnaden betalas nästan alltid med reklam. Varför just reklam i barnhänder är det verkliga problemet förklarar vi i checklistan för appar utan reklam.
Integritetskollen på två minuter
- Läs integritetsetiketten. I App Store under ”Appintegritet”: ”Ingen data samlas in” är det starkaste svaret; ”Data kopplade till dig” betyder att data knyts till ditt barns identitet.
- Leta efter en integritetspolicy för barn. Den som publicerar en har tänkt på kraven i COPPA och GDPR.
- Håll utkik efter ”Innehåller annonser”. Annonsfinansierade barnappar delar nästan alltid data med annonsnätverk.
- Testa appen själv i fem minuter. Var vaksam på kontoregistrering, e-postförfrågningar eller behörigheter för plats, kontakter eller mikrofon — en ritapp behöver inget av det.
- Testa föräldrakontrollen. Köp och länkar ska ligga bakom en vuxenkontroll som ett litet barn inte tar sig förbi på egen hand.
Guldstandarden: ”Ingen data samlas in”
Det renaste sättet att vara trygg enligt COPPA och GDPR är att bygga en app som inte har någon anledning att röra ditt barns data. Det är tanken bakom Kid Doodle: App Store-etiketten säger ”Ingen data samlas in”, det finns inga konton, inga analys- eller spårnings-SDK:er och ingen tredjepartsreklam — och appen fungerar 100 % offline: efter installationen skickas ingenting, för det finns inget att skicka. Det finns ingen samtyckesskärm, för det finns inget att samtycka till. Valfria köp av målarböcker ligger bakom föräldrakontrollen i Föräldrazonen. En medvetet tråkig integritetsberättelse — precis vad man vill ha för ett barn.
Vanliga frågor
Vad är COPPA och gäller det mitt barns appar?
COPPA är USA:s lag om skydd av barns integritet på nätet (Children's Online Privacy Protection Act). Den gäller onlinetjänster riktade till barn under 13 (eller som medvetet samlar in data från dem) och kräver verifierbart föräldrasamtycke innan personuppgifter samlas in, inklusive spårningsidentifierare, plats, foton och ljud. Den övervakas av FTC.
Skyddar GDPR barn i EU?
Ja. GDPR ger barn särskilt skydd. För en onlinetjänst riktad till ett barn måste samtycket ges eller godkännas av en förälder så länge barnet är under den ålder som varje land fastställer — 16 som standard, ned till 13 i vissa länder. I Storbritannien lägger Age Appropriate Design Code till höga integritetsinställningar som standard och dataminimering.
Vad betyder App Store-etiketten ”Ingen data samlas in”?
Det betyder att appen enligt utvecklaren inte samlar in någon data alls: ingen analys, inga identifierare, inga konton, ingen spårning. Där inget samlas in finns inget att samtycka till, dela eller förlora — det tryggaste läget för en barnapp. Kid Doodles etikett säger ”Ingen data samlas in”.