Niezależnie jak go nazywamy, niecierpliwie oczekujemy na niego w wigilijny wieczór, by pojawił się wreszcie z workiem pełnym prezentów. Święty Mikołaj, Gwiazdor, Dziadek Mróz… nie ma to znaczenia.
Nie mogę jednak przemilczeć szerokiej bazy danych, którą owa osoba posiada. Znajdziemy tam szczegółowe dane dotycząc dzieci (tych grzecznych i tych mniej) i zapewne ich rodziców. Na jakiej podstawie Święty Mikołaj gromadzi i przetwarza te dane? Na marginesie, tak obszerna baza danych wymaga wdrożenia skutecznych zabezpieczeń, ale te rozważania pozostawię na kolejne święta.
Jakie dane przetwarza Święty Mikołaj?
Zacznijmy od tego, co ma na nas Święty Mikołaj? Każdy był kiedyś dzieckiem, więc wszyscy znajdujemy się w tej bazie danych. Bezpiecznie będzie założyć, że Święty Mikołaj dysponuje imionami, nazwiskami i adresami zamieszkania dzieci z listy prezentowej. Te same dane dotyczą rodziców. Święty Mikołaj musi wiedzieć pod jaki dokładny adres powinien dostarczyć odpowiedni prezent. Lista musi być na bieżąco aktualizowana, aby nie doszło do pomyłek.
Poza tymi danymi, Święty Mikołaj prowadzi zapewne kartotekę składającą się z zachowań, a więc danych behawioralnych poszczególnych dzieci. To na tej podstawie ocenia, kto dostanie prezent, a kto rózgę lub kawałek węgla.
Zaryzykuję też stwierdzenie, że przetwarzane są też szczególne kategorie danych, jak choćby przynależność etniczna lub dane dotyczące zdrowia. Od szerokości graficznej zależeć przecież będzie dopasowanie prezentu!
No dobra, czas przejść do głównego tematu – jakie mogą być podstawy przetwarzania danych przez Świętego Mikołaja?
Święty Mikołaj uzyskał zgodę osoby, której dane dotyczą
Zacznijmy od końca, a więc od zgody. Dlaczego od końca? Bo zgodę można łatwo wycofać. Nie musimy przejmować się tym w odniesieniu do Świętego Mikołaja – któż chciałby zrezygnować z prezentów?
Myślę, że nie spowoduję kontrowersji stwierdzeniem, że wszyscy wyrazilibyśmy zgodę na przetwarzanie danych w celu uzyskania prezentu. Na dobrą sprawę wielu z nas robi to już teraz, np. zakładając karty rabatowe i aplikacje w sklepach sieciowych!
Święty Mikołaj mógłby zatem działać w oparciu o naszą zgodę. A wszyscy, którzy nie zechcą jej udzielić, mogą skorzystać z prawa do bycia zapomnianym i zażądać usunięcia z listy!
Święty Mikołaj realizuje umowę
Ale czy to na pewno tak proste, że zgadzamy się na przetwarzanie danych i prezenty pojawiają się pod choinką? Może to bardziej złożony temat… czy Święty Mikołaj nie realizuje zawartej umowy? Tylko z kim ta umowa? Z rodzicami? A jeżeli tak, to czy dochodzi tu do powierzenia przetwarzania?
Tak wiele pytań, tak mało odpowiedzi… myślę, że skierowałbym się w stronę umowy społecznej na kształt filozofii Hobbesa. Działałaby ona następująco: my, społeczeństwo, umawiamy się ze Świętym Mikołajem, że raz do roku dostarcza nam prezenty, a on to zobowiązanie przyjmuje. W takim wypadku można by rozważać udostępnienie danych na potrzeby realizacji umowy.
Święty Mikołaj realizuje obowiązek prawny
Zgoda zgodą, umowa umową, ale przecież to jedno z głównych zadań Świętego Mikołaja! Zastanówmy się więc nad obowiązkiem prawnym. Czy Święty Mikołaj realizuje taki obowiązek? Nie znam wprawdzie przepisu, który by go do tego zobowiązywał, ale byłbym skłonny do nagięcia nieco przepisów i stwierdzenia, że jest to jego obowiązek prawny. I nawet jeżeli nie wynika z prawa, w tym przypadku międzynarodowego, to na pewno z prawa naturalnego. Prezenty nam się należą!
Święty Mikołaj działa dla zabezpieczenia żywotnych interesów
Czy otrzymanie prezentu może wpływać na żywotne interesy obdarowanego? Jestem w stanie wyobrazić sobie wiele poważnych sytuacji, gdy podstawa ta znalazłaby swoje zastosowanie. Przy tej okazji zupełnie serio zachęcam do wejścia w buty Świętego Mikołaja i sprezentowanie świątecznej paczki tym, którzy naprawdę jej potrzebują.
Święty Mikołaj działa w związku z interesem publicznym i powierzoną mu władzą administracyjną
Może to nie tak, że Święty Mikołaj dostaje od gmin wyciąg z ewidencji ludności, ale jednak realizuje interes publiczny. Do tego działania natomiast potrzebuje danych osobowych. Można się wręcz pokusić o stwierdzenie, że pewna część władzy publicznej zostaje na czas świąt przekazana Świętemu Mikołajowi. Uważam, że również tę podstawę przetwarzania dałoby się wybronić!
Święty Mikołaj działa w prawnie uzasadnionym interesie
Wreszcie, czy cała ta akcja z prezentami nie jest pomysłem Świętego Mikołaja? A skoro wychodzi z inicjatywą obdarowywania prezentami, to działa jako administrator, a jego uzasadnionym interesem jest prowadzenie bazy danych. Do rozstrzygnięcia zostaje, czy interes ten jest tym uzasadnionym prawnie… i czy Święty Mikołaj przeprowadził test równowagi!
Wesołych świąt i szczęśliwego nowego roku!
Jak widać Święty Mikołaj ma z czego wybierać… a pominąłem na razie podstawy przetwarzania danych wrażliwych! Jestem przekonany, że to pomyślna wiadomość dla wszystkich, ponieważ Święty Mikołaj nie będzie mógł zrezygnować z prezentów i powiedzieć: „nie, bo RODO”.
Niestety nie każdy może być Świętym Mikołajem. Jeżeli nim nie jesteś, powinnaś lub powinieneś dołożyć starań w znalezieniu odpowiedniej podstawy przetwarzania danych osobowych. Dla wszystkich administratorów danych, poza życzeniami wesołych świąt, przypomnienie – nawet Święty Mikołaj potrzebuje swoich reniferów.
Dlatego, jeżeli masz wątpliwości, nie wahaj się zapytać kogoś, kto może Ci pomóc. Szczególnie, jeżeli może Ci to zapewnić pomyślność w nowym roku.
Pingback: Skarga do Prezesa UODO - Zdrowe Dane