A Mikulásnak ugyan az Északi sarkon van a bázisa, azonban rengeteg gyermeknek szállít ajándékot az Európai Unióban. Ezzel összefüggésben pedig kezeli a gyermekek személyes adatait. A Mikulás tehát a GDPR (Általános Adatvédelmi Rendelet) hatálya alatt áll. Vajon hogyan felel(het) meg az előírásoknak?
Az adatkezelés célja
Az adatkezelés célja értelemszerűen az ajándékok kiszállítása a jó gyermekek részére.
Melyik GDPR jogalap jöhet szóba?
A GDPR 6. cikk (1) bekezdés a.) pontja szerint az érintett hozzájárulása – 16 éven aluliak esetében ez nehézkes, mert érvényesen nem tehetnek minden körre kiterjedően jognyilatkozatot. És attól tartok, hogy a Mikulás nem szokott előzetesen senkit sem megkeresni.
Az (1) bekezdés b.) pont szerinti szerződés fennállása hivatkozható lenne, hiszen ajándékozásra kerül sor, azonban egy kiskorú esetében törvényes képviselő általi vagy gyámhatósági jóváhagyás lenne szükséges az ajándék elfogadásához.
A c.) pontos jogi kötelezettség kapcsán valószínűleg a Mikulásnak lenne kifogása.
A d.) pont szerint az érintett létfontosságú érdekeinek védelme? Ó igen, ez bizonyosan alátámasztható 🙂
Az e.) pontos közérdekű adatkezelés akkor lenne elfogadható, ha a Mikulás közfeladatot ellátó szervnek minősülne. Egyelőre még nem találtam a Magyar Közlönyben ilyen jogszabályt.
Végezetül persze az f.) pontos jogos érdek, feltéve persze, hogy a Mikulás jogos érdeke az ajándékok kiosztása. Csak nehogy valamelyik érintett gyermek tiltakozzon a személyes adatai kezelése ellen!
Egyidejűleg természetesen csak egy jogalapja lehet az adatkezelésnek.
Ne feledjük azt sem, hogy amennyiben elfogadjuk, hogy a Mikulás azon gyermekeknek szállít ajándékot, akik hisznek benne, akkor a világnézeti meggyőződésre vonatkozó személyes adatkezelés miatt a GDPR 9. cikk szerinti különös feltételeknek is meg kell felelni.
A 9. cikk (2) bekezdés alpontjai közül én a c.) pontot tartom legmegfelelőbbnek, miszerint az adatkezelés az érintett gyermek létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni.
Kik férhetnek hozzá a személyes adatokhoz?
A Mikulás munkáját segítő teljes csapat, az elfektől kezdve Rudolfig, persze mindenki kizárólag abból a célból, hogy az ajándékok végül időben célba érjenek.
Beépített és alapértelmezett adatvédelem
A GDPR 25. cikk értelmében a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket kell végrehajtani.
Mikulásnak ez olyan ügyesen sikerült, hogy mindössze annyit lehet tudni, hogy az adatkezelésre valószínűleg az Északi sarkon kerül sor, de a Mikulás bázisát fizikailag még nem sikerült senkinek sem felkutatnia. Rendszertámadásról (hacker) még nincs tudomásunk.
Adatkezelési tájékoztató
A GDPR 13. vagy 14. cikkek közül a 14. cikk szerint érdemes Mikulásnak eljárnia figyelemmel arra, hogy nem az érintettől szerezte meg a személyes adatokat. Persze majd én is csekkolom, hogy megtalálom-e a kis csizmámban a Mikulás adatkezelési tájékoztatóját 🙂
Adatvédelmi tisztviselő (DPO)
Tekintettel a fentiekre, mindenképpen javasolt, hogy a Mikulás egy adatvédelmi tisztviselőt nevezzen ki. Habár az adatvédelmi tisztviselő nevét és elérhetőségét ajánlott nyilvánosan hozzáférhetővé tenni (Magyarországon a NAIH nyilvántartást is vezet róluk), én eddig nem találtam a Mikulás DPO-jára vonatkozó információt sehol…
Kövessen minket a Facebookon is!