IT-Politisk Forening: GDPR sætter grænser for den digitale valgkamp

REPLIK: Databeskyttelsesforordningen skal overholdes, når valgbudskaber markedsføres på nettet. Partierne bør have interesse i at undgå konflikter med denne i valgkampen, og et dataetisk kodeks bør aftales i fællesskab, skriver Jesper Lund, formand i IT-Politisk Forening.

Af Jesper Lund
Formand, IT-Politisk Forening

Digitale valgkampagner giver mulighed for målrettede budskaber baseret på vælgernes adfærd online, herunder microtargeting. Som beskrevet i mit første indlæg skaber det risiko for manipulation. Ultimativt kan det true befolkningens tillid til valghandlingen.

På den anden side er den digitale valgkamp på Facebook i stand til at flytte stemmer, som Benjamin Rud Elberth skriver i dette Altinget-debatpanel.

Venstres partisekretær udtalte for nylig til Politiken, at "borgernes personlige data spiller en nøglerolle, når man skal vinde et valg", og at Venstre var klar til at bruge mere end 30 millioner kroner på den kommende valgkamp.

Behandling af personoplysninger i den digitale valgkamp
Markedsføring af valgbudskaber på sociale medier er ikke som sådan reguleret af dansk lovgivning (modsat tv-reklamer). Men i det omfang, at der i forbindelse med markedsføringen behandles personoplysninger, skal databeskyttelsesforordningen (GDPR) overholdes.

Det vil være tilfældet for de fleste annoncer på Facebook og internettet i øvrigt.

Enhver behandling af personoplysninger skal have et retligt grundlag, og den registrerede (vælgeren) skal oplyses om, hvordan personoplysninger behandles. Oplysningspligten sætter altså visse grænser for skjult og potentielt manipulerende reklamer.

Det retlige grundlag kan være et specifikt informeret samtykke eller i visse situationer legitim interesse, hvor den registrerede ikke skal spørges på forhånd.

Følsomme personoplysninger, for eksempel politisk eller religiøs overbevisning, kan kun behandles på grundlag af et udtrykkeligt samtykke fra den registrerede. Det vil typisk ikke foreligge i forbindelse med online-annoncer.

Facebooks ganske omfattende profilering af brugerne inkluderer politiske og religiøse interesser, som Facebook ikke selv mener, er følsomme personoplysninger.

Datatilsynet synes dog at være uenig i denne fortolkning. Det betyder konkret, at målretning af budskaber baseret på Facebooks profilering af politiske interesser eller målretning ud fra Facebook-brugerens interaktion med politisk indhold (for eksempel likes) med stor sandsynlighed kræver et udtrykkeligt samtykke for at være lovligt.

Behandling af personoplysninger i forbindelse med politiske kampagner har fået en del opmærksomhed af europæiske datatilsynsmyndigheder. Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) udgav i marts 2018 en udtalelse om manipulation af online- og persondata med særligt fokus på politiske kampagner.

EDPS-udtalelsen omtaler konkrete retningslinjer fra datatilsynsmyndighederne i Italien, Frankrig og Storbritannien vedrørende behandlingen af personoplysninger i politiske kampagner.

Datatilsynet har desværre ikke planer om at udarbejde lignende vejledninger med retningslinjer til de danske partier. Det er beklageligt, eftersom Danmark formentlig er et af de europæiske lande, hvor digitale valgkampagner bruges mest intensivt.

Partierne og kandidaterne har også et (juridisk) ansvar
I en dom fra juni 2018 fastslår EU-Domstolen, at indehaveren af en fanside på Facebook er fælles dataansvarlig med Facebook for den behandling af personoplysninger, der sker i relation til denne side.

Det må også omfatte politiske partiers og kandidaters målrettede markedsføring på Facebook.

Et fælles dataansvar betyder ikke automatisk, at partiet eller kandidaten har det samme ansvar som Facebook.

Men netop i forhold til at fastlægge målgruppen for en annonce, kan man godt argumentere for, at partiet/kandidaten i højere grad end Facebook fastlægger formålene med og hjælpemidlerne til behandlingen.

Når partier og kandidater er fælles dataansvarlig med Facebook, kan Datatilsynets beføjelser ved overtrædelse af databeskyttelsesforordningen også udøves over for partiet eller kandidaten.

En mulig håndhævelse i praksis kunne været et påbud (under valgkampen!) om at indstille en målrettet markedsføring, hvor der behandles følsomme personoplysninger.

De politiske partier bør have en fælles interesse i at undgå sådanne konflikter med databeskyttelsesforordningen.

Inden det kommende folketingsvalg bør partierne derfor i fællesskab aftale et dataetiske kodeks for deres digitale valgkampagner.

Dette dataetiske kodeks bør som minimum sikre, at vælgerne ikke bliver manipuleret med microtargeting mod små segmenter, at vælgerne ikke føler sig overvåget (via eksempelvis retargeting-reklamer), og at ingen partier eller kandidater kommer i gråzonen med behandling af følsomme personoplysninger.

Forrige artikel Iværksætter: Hvad blev der af Iværksætter: Hvad blev der af "dele" i deleøkonomi? Næste artikel KMD: Kunstig intelligens i kommunerne er ikke fjern fremtid KMD: Kunstig intelligens i kommunerne er ikke fjern fremtid