Hvert år til jul tændes børns juleglæde ved fortællingen om julemanden og ved synet af gaver under juletræet.

Julemanden er kendt for at have en liste over alles navne og adresser, hvad de ønsker sig til jul, og om de har opført sig ordentligt.

Men må han egentlig gemme lister med personoplysninger? Og i givet fald, under hvilke betingelser?

Persondataforordningen (GDPR)

I 2018 trådte GDPR i kraft i Danmark. GDPR regulerer blandt andet, hvornår og hvordan man må behandle personoplysninger og stiller blandt andet også krav til sikkerheden, når der behandles personoplysninger.

Begrebet ”personoplysninger” omfatter enhver form for oplysninger, som kan henføres til en fysisk person, når det er muligt direkte eller indirekte at identificere vedkommende ud fra pågældendes oplysninger eller i kombination med andre oplysninger.

Det kan eksempelvis være oplysninger om navn, alder, adresse, fingeraftryk eller CPR-nummer, men det kan også være et foto, en videooptagelse, en ønskeliste, oplysninger om politisk eller religiøs overbevisning eller oplysninger om strafbare forhold.

Julemandens lister over navne, adresser, ønsker og ikke mindst opførsel, indeholder således personoplysninger og kan under visse nærmere forudsætninger være underlagt reglerne i GDPR.

Er julemanden underlagt reglerne, når han bor på Nordpolen?

Julemanden bor på Nordpolen, som ikke er en del af EU.

GDPR finder dog anvendelse, når behandlingen vedrører personoplysninger om personer, der befinder sig i EU, men som foretages af en dataansvarlig eller databehandler, der ikke er etableret i EU, hvis behandlingsaktiviteterne vedrører udbud af varer eller tjenesteydelser, uanset om betaling herfor er påkrævet eller ej, eller hvis behandlingen vedrører overvågning af adfærd i EU.

Eftersom julemanden både udbyder varer, som der ikke skal betales for, og da han overvåger folks opførsel, er julemandens behandling af personoplysninger om EU-borgere omfattet af GDPR, selvom han bor og har værksted på Nordpolen.

Må julemanden gemme lister med personoplysninger?

Hvilke krav skal julemanden opfylde?

GDPR opstiller en række forskellige betingelser for, hvornår man må behandle personoplysninger alt afhængig af, hvilke kategorier af personoplysninger man behandler.

Den helt grundlæggende betingelse for, hvornår man må behandle personoplysninger, er dog, at man altid skal have et legitimt formål hermed. Dette gælder uanset, hvilke personoplysninger man behandler.

Persondataforordningen opererer overordnet set med 2 forskellige kategorier af personoplysninger, og der stilles forskellige krav til, hvornår personoplysningerne må behandles, alt afhængig af hvilken kategori de falder i. De to kategorier er:  

  1. Almindelige personlysninger, som eksempelvis navn og adresse, og
  2. Såkaldt følsomme personoplysninger, som eksempelvis oplysninger om religiøs eller politiske overbevisning eller helbredsoplysninger.

Herudover findes der særlige regler for, hvornår man må behandle CPR-numre og oplysninger om strafbare forhold i de enkelte medlemsstaters supplerende databeskyttelseslovgivning.

Da julemanden både behandler ”almindelige personoplysninger” og oplysninger om opførsel og hermed muligvis oplysninger om strafbare forhold, gælder der altså forskellige krav til, hvornår julemanden må behandle disse oplysninger.

Det følger dog af GDPR og den danske supplerende databeskyttelseslov, at såvel almindelige personoplysninger som oplysninger om strafbare forhold kan behandles, hvis den dataansvarliges legitime interesse overstiger behovet for at beskytte den registreredes rettigheder og frihedsrettigheder, hvilket julemanden med overvejende sandsynlighed vil kunne gøre gældende er tilfældet.

Herudover skal julemanden blandt andet sørge for at efterleve sin oplysningsforpligtelse overfor de fysiske personer, han behandler personoplysninger om, hvilket han dog let kan efterleve ved at gøre en privatlivspolitik tilgængelig på sin hjemmeside og vedhæfte oplysninger om denne på de gaver, han afleverer.

Endelig skal julemanden også sørge for at læse sine breve omhyggeligt og selvfølgelig varetage enhver rettighedsanmodning, som han måtte modtage. Dette skal som udgangspunkt ske indenfor 30 dage. Dette betyder blandt andet, at man kan bede om indsigt i julemandens liste over persondata, herunder de registrerede oplysninger om opførsel, og at man kan gøre indsigelse imod julemandens vurdering, såfremt man ikke er enig.

Hvor længe må julemanden beholde dine oplysninger?

Der gælder en grundlæggende regel om, at personoplysninger ikke må opbevares længere tid, end det er nødvendigt til de formål, de er indsamlet. Hvis julemandens legitime formål med behandlingen ophører, skal han altså slette oplysningerne.

Det store spørgsmål er så, om julemandens opbevaring af personoplysninger til brug for udbringning af julegaver er et legitimt formål?

Det mener vi hos CLEMENS bestemt, det er.

Glædelig 4. advent og god jul fra alle os hos CLEMENS.

Har du spørgsmål til din virksomheds håndtering af personoplysninger, er du altid velkommen til at kontakte CLEMENS advokatfirmas databeskyttelsesteam.