Når julemanden ikke er GDPR-compliant!
Julen er i fare! Julemanden har endnu ikke fået styr på håndteringen af de indsamlede persondata, som det klart fremgår: “He’s making a list!” i den kendte sang om Julemandens virke. I dette indlæg vil jeg se nærmere på de kritiske forhold i relation til Persondataforordningen.
Der er adskillige forhold, som Julemanden endnu ikke har redegjort for, hvilket også fremgår af Datatilsynets hjemmeside:
Lad os se på de forhold, som Julemanden bør redegøre for:
- Har forældrene afgivet samtykke til at deres børns data må indsamles?
- Hvordan kontrollerer Julemanden, hvilken forælder, der reelt har forældreretten til at bestemme ?
- Har Julemanden de enkelte landes tilladelse til at undersøge dette ?
- Har Julemanden fået samtykke til at komme ind i et hus igennem en uautoriseret indgang (Skorsten) i stedet for hoveddøren?
- Da Julemandens data må siges at indeholde oplysninger om religion, så falder denne oplysning ind under kategorien “Persondata af følsom karakter”.
- Ligeledes vurderes det at “uartige” børn har begået noget strafbart, hvilket også er persondata der stiller særlige krav til databehandling.
- De forskellige lande, som Julemanden besøger, er underlagt forskellig lovgivning, når det kommer til håndtering af
- data om børn
- persondata
- opbevaring af disse data
- Har Julemanden styr på dette ? Og hvor finder jeg den dokumentation ?
- Julemanden har officiel adresse i dag i byen Rovaniemi i Finland, men hvor er data opbevaret? Ligger der gamle data tilbage på Grønland? Eller ligger de på Nordpolen, som ligger uden for EU ?
- Er gavelisten behørigt krypteret/beskyttet, hvis Julemanden skulle glemme under et besøg hos en familie?
- Hvordan håndterer Julemanden “Right to be forgotten”?
- Hvad er det legitime grundlag for at opbevare disse personlige data?
- Og når dette grundlag ophører, sletter Julemanden så oplysningerne ?
- Er Nisserne certificerede i håndtering af persondata ?
- Er Nisserne databehandlere, når nu Julemanden er dataansvarlig ?
- I børnenes breve til Julemanden kan der være stærke følsomme oplysninger relateret til episoder i løbet af året, som børnene gerne vil have Julemanden ser bort fra. Hvordan håndteres disse?
- Er Julemandens vurdering om børnene har gjort sig fortjent til en gave ulovlig profilering?
- Og hvordan forholder denne evaluering sig til principperne bag “Privacy by Design” og “Security by Default”?
- Benytter Julemanden AI til at foretage denne vurdering?
- Hvordan forholder Julemanden sig til EU’s “AI Act”?7
- Har Julemanden en DPO ?
- Og hvordan kommer man i kontakt med denne ?
- Hvis en person ønsker at skifte fra Julemanden til fx. Påskeharen eller Tandfeen, så skal Julemanden kunne levere personens data i et format, der er struktureret og maskinlæsbart.
- Og ønsker man at benytte sin ret til at få indsigt i de data, som Julemanden har indsamlet, hvor henvender man sig ?
- Og endelig hvor gør man indsigelse, såfremt man er uenig i det registrerede?
- Og hvor hurtigt bliver en fejlregistrering, som har stemplet barnet som “uartigt” korrigeret?
- Er Nissen på loftet, Julemandens lokale GDPR repræsentant ?
- Hvor kan man læse Julemandens persondata politik og oplysningsforpligtigelse?
Det forlyder, at Politiet har valgt at hente Julemanden ind for en nærmere dialog med Datatilsynets IT-sikkerhedsspecialist Allan Frank om disse forhold, som nu på 4 år stadigvæk ikke skulle være bragt i orden. Ovenstående pressefoto kunne tyde på dette (Kilden til dette foto er desværre redaktøren ukendt. Men sjovt er det!)
Julemanden har nu haft flere år til at blive compliant, og Det Europæiske Databeskyttelsesråd har trukket den længe med henvisning til den “gode julestemning”. Man skeler også til, at bøden på 4% af Julemandens bruttoomsætning kan blive vanskelig at gøre op, da Julemanden ikke er regnskabspligtig. Det forlyder, at Donald Trumps advokater, i den verserende sag om fremlæggelse af Trumps skatteregnskab, har udtrykt at de vil – pro bohoho – assistere Julemanden, såfremt der skulle bliver fremsat krav om at denne skal offentliggøre et regnskab.
Tilbage i december 2017, altså cirka 5 måneder før Persondataforordningen trådte i kraft, dokumenterede kritiske journalister fra Danmarks Radio, hvordan Julemanden indsamlede og behandlede data:
Ulovlig overvågning finder sted!
Endelig rejser det stærk bekymring, at Julemanden har kigget ind til børn i mens de sover!
Han har tilmed overvåget dem for at se om de var vågne, som det fremgår at bevis A: Teksten til “Santa Claus is coming to town “.
Bevis A oplyser dog, at Julemanden varetager integriteten af de indsamlede data ved at tjekke listen hele 2 gange.
Flere anti-overvågningsgrupper, med Edward Snowden som talsperson, har udtalt at man overvejer et søgsmål for ulovlig overvågning, og vil ved samme lejlighed undersøge om NSA har haft en “bagdør” til denne liste.
Rygter: EU-kommisionen kommer Julemanden til undsætning.
Der har længe svirret rygter om at EU kommissionen med Margrethe Vestager i spidsen ønsker at få vedtaget en særregel, en så kaldt “Santa klausul”, der skal gøre det lettere for Julemanden at operere i EU. Endvidere henstiller man til, at Julemanden holder sin sti “ren”.
God jul (og gengiv gerne med kildehenvisning)