Z okazji zbliżających się świąt zamiast klasycznych życzeń przygotowaliśmy dla Państwa wyjątkowy materiał. Już niebawem wszystkie domy odwiedzi Święty Mikołaj i zapewne chcielibyście Państwo wiedzieć, czy jest on administratorem danych osobowych dzieci, do których przyniesie prezenty? Odpowiedź znajdziecie Państwo poniżej.
1. Czy Święty Mikołaj musi przestrzegać RODO?
Zdecydowanie tak! Kluczowe znaczenie ma tu lokalizacja centrali Świętego Mikołaja – jeśli siedziba centrali jest na terytorium Unii Europejskiej, to wtedy należy stosować RODO. A Laponia jest częścią Finlandii, członka UE. Dodatkowo, duża część obdarowanych przez Święty Mikołaja to dzieci przebywające na terytorium UE – jest to kolejny argument przemawiający za tym, że Święty Mikołaj powinien stosować RODO.
2. Czy jest administratorem danych, czy podmiotem przetwarzającym?
Administrator danych to podmiot, który ustala cele i sposoby przetwarzania danych. Święty Mikołaj z całą pewnością decydują o tym czy dane dziecka posłużą mu do wręczenie prezentu czy też rózgi – ustala tym samym cel przetwarzania danych. Święty Mikołaj jest również odpowiedzialny za sposób dostarczania prezentów: czasami używa komina, innym razem wkrada się do mieszkań przez balkon. A same prezenty? Święty Mikołaj często używa pseudonimizowanych danych osobowych do oznaczenia prezentu, takich jak imię dziecka czy inicjały. Nie można też zapomnieć o tym, że Święty Mikołaj odpowiada również za bezpieczeństwo danych osobowych przekazywanych do niego w formie listów papierowych czy elektronicznych. Tak, Święty Mikołaj jest administratorem danych!
3. Jaką Święty Mikołaj ma podstawę do przetwarzania danych?
Wykorzystanie danych przez Świętego Mikołaja jest oparte na dwóch podstawach. Pierwszą z nich jest wykonywanie zadania w interesie publicznym (art. 6 ust. 1 lit. e RODO) – sprawianie dzieciom radości jest z całą pewnością takim zadaniem. Druga podstawa to ochrona żywotnego interesu osób, których dane dotyczą (art. 6 ust. 1 lit. d RODO). Jeśli ktoś ma co do tego wątpliwości, niech uda się w okresie przedświątecznym do sklepu z zabawkami i przyjrzy dzieciom wpatrzonym w lalki, misie czy klocki.
4. Jaki jest zakres danych gromadzonych przez Świętego Mikołaja?
Co Święty Mikołaj wie o dzieciach, którym dostarcza podarki? Imię, nazwisko, płeć, wiek, adres zamieszkania – zna je na pewno. Każdemu przypisano także wynik na skali „grzeczne/niegrzeczne dziecko”, preferencje co do prezentu, prezenty już posiadane (dla uniknięcia rozczarowań)… Wszystko to oczywiście dla zapewnienia, że chłopiec czy dziewczynka naprawdę ucieszy się z upominku!
5. Jakie prawa mają dzieci? Jakie prawa mają rodzice?
Dzieciom (a raczej rodzicom/opiekunom prawnym, występującym w ich imieniu) co do zasady przysługują wszystkie wynikające z RODO prawa: dostępu do danych, ich sprostowania, ograniczenia przetwarzania, zgłoszenia sprzeciwu wobec przetwarzania czy skargi do organu nadzorczego.
Kluczowe jest stwierdzenie „co do zasady” – oczywiste jest, że na przykład realizacja prawa do bycia zapomnianym (w stosunku do listy niegrzecznych dzieci) nie będzie mogła mieć miejsca. Nie pozwala na to Świętemu Mikołajowi zdrowy rozsądek (ani żadna z przesłanek wymienionych w art. 17 ust. 1 RODO).
6. Jak długo Święty Mikołaj przechowuje te dane?
Nie wszystkie dzieci są niestety zadowolone z prezentów. Rowerek może być w innym kolorze niż wymarzony, a konsola PS3 to nie to samo co PS4 Pro. Z tego tytułu dzieci mogą dochodzić swoich roszczeń wskazując na fakt, iż prezent nie jest zgodny z listem, który wysłały do Świętego Mikołaja. Ten, by móc właściwie rozpatrywać wszelkie reklamacje, potrzebuje zachować wszystkie listy przez okres maksymalnie roku. W następne Święta życzenia dzieci są już nowe i nikt już nie pamięta o niewłaściwych prezentach sprzed roku.
7. Kim są odbiorcy danych wykorzystywanych przez Świętego Mikołaja?
Odbiorcami danych osobowych, którymi Święty Mikołaj posługuje się jako administrator, będą przede wszystkim osoby upoważnione (czyli zatrudnione u Mikołaja elfy) oraz poczta i firmy kurierskie (ich usługi są niezbędne przy działalności na tę skalę). Odbiorcami (odrębnymi administratorami) będą także mikołajowie „lokalni”, pojawiający się na ulicach, w centrach handlowych czy na imprezach dziecięcych.
8. Czy Święty Mikołaj musi wyznaczyć IOD?
Zgodnie z RODO obowiązek wyznaczenia inspektora ochrony danych spoczywa na podmiotach, których główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób. A co robi Święty Mikołaj przez okrągły rok? Sprawdza (regularnie i systematycznie), czy dzieci są grzeczne. I to na dużą skalę, bo podpatruje wszystkie dzieci na świecie!
9. Czy elfy powinny mieć upoważnienie do przetwarzania danych osobowych?
Tak, z racji wykonywania swoich obowiązków elfy mają dostęp do danych osobowych dzieci. Zakres zależy oczywiście od stanowiska lub zakresu obowiązków konkretnego elfa, ale realizacja obowiązku z art. 29 RODO musi mieć miejsce.
A Żona Świętego Mikołaja? To już zupełnie inna historia!