Jultomtens personuppgiftsbehandling
Julen närmar sig med stormsteg och då är det mycket som ska hinnas med, inte minst för vår allas tomtefar. Inte nog med att alla julklappar ska delas ut; alla julstrumpor fyllas; och alla kakor ätas upp, i år har även GDPR lämnat gamle tomtefar med pannan i djupa veck. Tomten har ju flera miljarder barn på sina önskelistor med alltifrån: namn, adress, ålder, önskad julklapp och så vidare. Hur ska dessa personuppgifter hanteras? För att reda ut detta har jultomten därför vänt sig till oss och vi tänkte snabbt försöka sammanfatta några av dessa frågeställningar nedan
Var finns tomten?
Den första frågan som bör ställas är om tomten omfattas av GDPR:s territoriella tillämpningsområde. Enligt artikel 3.1 GDPR ska förordningen tillämpas på behandling av personuppgifter som faller inom verksamheter som bedrivs av personuppgiftsansvarig (tomten) som är etablerad i EU.
Det finns många frågetecken kring var tomten befinner sig, men en känd uppfattning är att han är bosatt på Nordpolen där han tillsammans med tomtemor och sina tomtenissar har sin verkstad. Såtillvida är inte denna punkt tillämplig, då Nordpolen (ännu) inte är en del av EU/EES.1 Däremot avser tomtens behandling av personuppgifter fysiska personer som befinner sig inom unionen eftersom att han delar ut julklappar till barn (3.1 punkten (a) – utbjudande av varor eller tjänster) samt att tomten ser till att dessa julklappar endast skickas till snälla barn (artikel 3.2 punkten (b) – övervakning av beteende). Tomten har alltså en skyldighet att behandla personuppgifter i enlighet med vad som stadgas i GDPR då han träffas av dess tillämpningsområde.
Tomtens lagliga behandling
Nästa fråga som bör besvaras är vilket lagstöd som tomten ska tillämpa sig av för sina behandlingsaktiviteter. GDPR stadgar sex (6) olika lagstöd som tomten skulle kunna använda sig av för sin behandling av personuppgifter. Det lagstöd som ligger närmast till hands är artikel 6.1 punkten (f) GDPR som innebär att den personuppgiftsansvarige behandlar personuppgifter genom en så kallad intresseavvägning.2 Tomten ska då väga sina berättigade intressen gentemot barnens intressen eller grundläggande rättigheter och friheter.
Vad är då tomtens berättigade intressen? Det måste komma från tomtens skyldighet att efterleva den tradition som har funnits sedan urminnes tider att dela ut julklappar till snälla barn. Dessutom måste barnens förväntan att få julklappar vid julafton tillmätas betydelse. Därigenom behöver tomten samla in personuppgifter för att avgöra om barnen har varit snälla och därefter ha möjlighet att dela ut julklappar till de snälla barnen. Det talar övervägande för att tomten har ett berättigat intresse att hantera personuppgifterna.
I sammanhanget bör det tilläggas att eftersom det rör sig om barns personuppgifter har tomten en skyldighet att tillämpa extra försiktighet då barns personuppgifter förtjänar ett särskilt skydd. Tomteverkstaden i Nordpolen måste se till att ha lämpliga tekniska- och organisatoriska säkerhetsåtgärder. Det innebär att datorutrustning, servrar och andra tekniska medel måste vara uppdaterade och erbjuda ett bra skydd. För tomtefar, tomtemor och tomtenissarnas del behövs också erforderliga kunskaper om dataskydd.
Och till alla stygga barn som inte får julklappar i år
Vi har hittills pratat om julklappsutdelning till snälla barn och enligt gammal sed ges inga julklappar till stygga barn. Får tomten ändå behandla dessa personuppgifter? Vad gör tomten om ett barn vill protestera mot att tomten har barnets personuppgifter (barnet kommer ändå inte få några julklappar och då kanske barnet inte vill finnas med på tomtens önskelista)? Detta skrivs det mer om i nästa inlägg!
Fotnoter
- Förvisso skulle man kunna spekulera om tomten kanske bor i Sveriges Mora, på fjället Korvatunturi i Finland eller Ilulissat på Grönland och att endast tomteverkstaden befinner sig utanför unionen. I sådana fall skulle behandlingen av personuppgifter kunna ske inom ramen för ett verksamhetsställe etablerad i unionen. Eftersom tomten inte har gett oss mer information om detta så får vi göra ett antagande.
- Det finns argument för att även lagstödet avtal skulle kunna vara tillämpligt. Även s.k. benefika avtal (där endast en part har förpliktelser) borde innefattas av lagstödet. Dock väcker det flera frågor i form av barns rättshandlingsförmåga att ingå sådana avtal såväl som vilken omfattning barnets föräldrar bör vara inblandade. Det är sådana här frågor som ger tomtefar huvudvärk.
