Vajon befuccsol a tevékenysége a lappföldi öreg úrnak, aki minden évben szorgalmasan jegyzetel, ki hogyan viselkedik, kinek milyen ajándék jár, és kinek hová kell szállítani majd a teli puttonyt a jeles magaviseletért? Perbe kerülhet a GDPR miatt ez a szegény jótevő? Cikkünkben szigorú nagyító alá vettük a Mikulás adatkezelési tevékenységét.

Felmerült bennünk a kérdés, hogy mivel a Mikulás valahol északon él – többek szerint Finnországban –, ezért rá is az Európai Unió szabályai érvényesek – így a GDPR is. Vajon megfelelően gyűjti be és tárolja a gyerekek adatait? Több szempontból is igen kényes ez a dolog. Hol olvasható egyáltalán a Mikulás adatvédelmi tájékoztatója?!

Honnan gyűjti be az adatokat arról, hogy megszületett egy kisbaba, akinek az első Mikulás estéjén már ajándékot kell vigyen a kisbaba lakcímére? Ebben az esetben a szülők lennének az adatfeldolgozók, akik remélhetőleg nyilvántartásba véve tevékenységüket, átadják a Mikulásnak a lakcímet?
És mi van a Mikulásnak küldött levéllel, amelyet a gyerek az ablakba kitéve megírja kívánságait? Ez amolyan felhívás a táncra, avagy regisztráció a Mikulás „játékába”. Bár a Mikulásnak címezi, mégsem minősül a Magyar Posta Zrt. adatfeldolgozónak a levél továbbítása miatt. Feltételezzük, sok gyerek nem is tudja, hogyan jut el a levele a Mikulásnak, mivel a „játékban” való részvételének feltételeit és részleteit senki sem osztotta meg vele – csak szóban a szülők pontatlanul –, de mindannyian tudjuk, hogy nincs játék játékszabályzat nélkül, az adatvédelmi tájékoztatóról nem is beszélve. Tudjuk, ugye?!

És akkor még nem is beszéltünk arról, hogy feltehetően minden gyerek kiskorú, akinek adataival a Mikulás rendelkezik. Vajon a szülők írtak alá olyan nyilatkozatot, amivel beleegyeznek, hogy a gyerekeik részt vehetnek a „játékban”? Ezt a Mikulás írásban is tudja igazolni? Vagy krampuszai csak helyeslően bólogatnak szemtanúként?

Ha tegyük fel, minden úgy történt, ahogy itt fent leírtuk, akkor milyen eszközön juttatják el a szülők a gyerekek adatait a Mikulásnak? Vajon jelszóval levédik a dokumentumot? Vajon milyen más csatornán keresztül küldik el a jelszót? SMS-ben? E-mailben? Miután elküldték, törlik azt az üzenetet, ami a jelszót tartalmazza? Mindenesetre, reméljük, nem Messengeren továbbítják a lakcímet…

Ha megérkezik az adat a Mikuláshoz, hol tárolja őket? Szokták mondani, hogy a Mikulás listát vezet a gyerekekről. Milyen szerveren vezetheti, és vajon ki fér még hozzá? Vajon a Jézuskának is van saját perszonalizált adminja a szerverhez?

Tovább boncolva a tárolás kérdéskörét: meddig tárolhatja a Mikulás a gyerekek adatait? Vajon leköveti valamilyen beépített sütivel a háztartásban lévő számítógépeket, hogy vajon mikor jelenik meg az első kérdés a Google-ben: „Igaz, hogy nem létezik a Mikulás?” – és akkor innentől kezdve már nem tárolja azokat, vagy van egy konkrét idő meghatározva valahol az éterben (mert ugye nem láttunk adatvédelmi tájékoztatót)? Ha törli az adatokat, akkor a biztonsági mentésekkel vajon mit csinál? Azokból is törli? A számítógép kukájába helyezi, vagy végleges törléssel minden nyilvántartásba vezetett (ha vezetett) adatot töröl? Ha nem törli, mikor törli majd? Vajon a gyerek tudja, hogy vannak törléshez, helyesbítéshez, tájékoztatáshoz, hozzáféréshez, korlátozáshoz és tiltakozáshoz joga az adataival kapcsolatosan? Mi van az ajándékok után járó adózással? Ha adóznia kell a Mikulásnak az ajándéktárgyak után, akkor bekéri a gyerekek további adatait is?

Ha harmadik félnek átadja az adatokat, például Rudolfnak, a rénszarvasnak, hogy az megtalálja a gyereket, és kiszállítsa neki az ajándékot – erről van adatfeldolgozói szerződésük?

Akárhogy is nézzük, egyet biztosan javasolnánk a nagyszakállúnak: érdemes egy krampuszt kineveznie adatvédelmi tisztviselőnek, ha nem szeretne pórul járni. Reméljük, erre ő is gondolt május 25-e óta! 😊

Sikó-Barabási Gyopár