Undanfarið hefur mikið verið leitað til okkar vegna umræðu um persónuvernd á netinu og GDPR. Til dæmis í Speglinum á RÚV og Harmageddon.
Síðasta vor, þegar havaríið í kringum nýju GDPR persónuverndarlöggjöfina í Evrópu stóð sem hæst, rákum við augun í tweet sem okkur þótti bæði áhugavert og ógnvekjandi:
He's making a list
He's checking it twice
He's gonna find out who's naughty or nice
Santa Claus is in contravention of article 4 of the General Data Protection Regulation (EU) 2016/679— joe (@mutablejoe) May 20, 2018
Þessi orð hafa vakið okkur til umhugsunar um það hvernig jólasveinninn er að brjóta gegn hinni margumtöluðu GDPR-löggjöf. Niðurstöðurnar eru sláandi og við viljum sérstaklega biðja foreldra og forráðamenn barna að kynna sér málið, hafa um það stór orð á samfélagsmiðlum og mögulega hafa samband við Persónuvernd (plís ekki samt).
Jólasveinninn er með lista yfir öll börn
Ókei, tölum um lista. Þú getur ekki bara sett fólk á einverja lista án samþykkis. Að minnsta kosti ekki tölvupóstlista. Við veltum því fyrir okkur hvort jólasveinar séu með svokallaðan “opt-in” lista sem fólk þarf að gefa samþykki fyrir að vera á. Ef fólk gaf ekki leyfi upphaflega þegar listinn var gerður þarf að uppfæra hann með tilliti til GDPR. Það er morgunljóst að jólasveinninn þarf að leggjast í dálitla vinnu við það.
Athugið: Ef börn hafa sent jólasveininum bréf með samþykki foreldra eða forráðamanna eftir að GDPR tók gildi, þá telst það sem “opt-in” á nýja og löglega listann hans.
Jóli safnar viðkvæmum persónuupplýsingum um hegðun barna
Eru börnin óþæg eða stillt? Fara þau snemma að sofa? Það er auðvitað ekki í lagi að jólasveinninn safni viðkvæmum persónuupplýsingum um börn og vinni svo út frá þeim. Samkvæmt Persónuvernd “þarf öll vinnsla persónuupplýsinga, svo sem söfnun þeirra, varðveisla og miðlun, að styðjast við heimild í persónuverndarlögum.”
Hver hefur aðgang að lista jólasveinsins? Er hann geymdur á öruggum stað?
Íslensku jólasveinarnir deila mjög sennilega listum sín á milli en það mega þeir ekki gera. Við viljum líka vita hvernig og hvar listarnir eru geymdir. Getur hvaða helliströll sem er komist yfir listana? Þetta er ekki í lagi.
Við spyrjum okkur einnig að því hvort jólasveinar deili listum með leikfangaframleiðendum til þess að þeir geti nýtt þá í markaðsstarfi?
Í hvaða tilgangi eru upplýsingarnar notaðar?
Jú, íslensku jólasveinarnir nota til dæmis upplýsingarnar til að brjótast ítrekað inn til fólks fyrir jól og stela jafnvel frá því hlutum eins og kertum, mat o.fl.
Hvað á að gera í málinu?
Ekki neitt. Við viljum auðvitað ekki vera að hræða fólk. Það er ekki tilgangurinn með þessu bloggi. Við viljum hreinlega að fólk sé meðvitað um nýju persónuverndarlögin og spái aðeins í því hvort það sé að nota úreltar aðferðir í markaðssetningu í gegnum tölvupóst, fari óvarlega með persónuupplýsingar, og svo framvegis.
Athugið að þið hafið heimild, lögum samkvæmt, til að senda jólasveininum bréf og óska eftir því að hann eyði öllum gögnum um ykkur.