IMY publicerar riktlinjer om hur personuppgifter får användas i politiska kampanjer

Författare:

|

Datum:

|

Integritetsskyddsmyndigheten (IMY) har utfärdat riktlinjer för politiska aktörer och skickat ett exemplar var till alla åtta riksdagspartier. Inför kommun-, region- och riksdagsvalen i september vill politiska partier och intresseorganisationer kommunicera och föra en dialog med väljarna.

Ett viktigt påpekande är att riktlinjerna riktar sig till politiska aktörer. Riktlinjerna gäller lika mycket för ett politiskt parti som ställer upp i ett kommunval som för en opinionsbildande förening som vill legalisera jakt på ekorrar.

Många kampanjaktiviteter förutsätter behandling av personuppgifter
Politiska organisationer vill skapa opinion för sina hjärtefrågor, och väljarna vill veta vad de politiska partierna vill åstadkomma och hur. Politiska kampanjer måste bedrivas på ett etiskt sätt och respektera allas rätt till privatliv. Det är viktigt att betona att rätten till personlig integritet inte bara handlar om att individer ska ha kontroll över vad andra vet om dem. Personlig integritet handlar i lika hög grad om att ha rätt att veta hur andra använder ens personuppgifter. Även den som är mycket öppen med att hen är en konservativ kristen, har rätt att veta hur en politisk aktör eller ett socialt medieföretag har använt den offentliga informationen om hen för att visa en riktad annons.

Politiska aktörer kan komma att samla in väljarnas kontaktuppgifter från offentliga register för att skicka information per post eller ringa telefonsamtal. De kan också använda sociala medieplattformar och tjänster för riktad reklam på nätet för att skicka skräddarsydda politiska budskap till enskilda personer baserat på egenskaper som intresse, geografiskt läge, ålder eller till och med politiska åsikter. Många aktiviteter som har med politisk kampanjverksamhet att göra kommer att omfattas av GDPR:s fulla räckvidd. Ibland kan en aktivitet också omfattas av ett undantag där GDPR inte alls är tillämplig eller där endast delar av den gäller.

All personuppgiftsbehandling måste ha en rättslig grund
Riktlinjerna innehåller 26 exempel för att illustrera reglerna i deras enklaste form. När det gäller politiska kampanjer är samtycke och berättigat intresse mer relevanta än alla andra rättsliga grunder. Berättigat intresse ska användas när organisationen inte kan be väljaren om lov innan den utför behandlingen – en organisation kan bara förlita sig på berättigat intresse för legitima aktiviteter.

Riktlinjerna ger exempel på berättigade intressen och ett otillåtet intresse: Om ett politiskt parti riktar in sig på väljare som tillhör en etnisk minoritet som vanligtvis inte röstar på partiet, i syfte att diskriminera dem för att avskräcka dessa väljare från att gå till valurnorna. Enligt IMY kan en sådan handling aldrig betraktas som ett legitimt intresse och är därför olaglig.

Offentliga personer har inte lika starkt skydd för den personliga integriteten som vanliga medborgare
Ett annat intressant exempel från IMY illustrerar hur offentliga personer har en svagare rätt till privatliv och att privat information kan publiceras om det är motiverat av ett samhällsintresse. Undantagsregeln gäller politiker och andra offentliga personer som har valt att delta i det offentliga livet.

Om Anna Ankdotter, ledare för parti A, på sin Facebooksida publicerar att Benny Bobbysson, ledare för parti B, inte har betalat räkningarna för sitt nyrenoverade sommarhus och att räkningarna har gått till kronofogden kan det vara lagligt att publicera denna information. Anna kan försvara spridningen av informationen genom att hävda att hon publicerade denna privata information för att hon ville inleda en debatt om hur omoraliska hennes politiska motståndare är och att Bennys bristande omdöme gör honom olämplig att inneha offentliga ämbeten. IMY resonerar att ett sådant offentliggörande kan falla in under GDPR-undantaget för journalistiska ändamål.

Begreppet ”journalistiska ändamål” har en bredare betydelse som juridisk term i GDPR än i dagligt tal. Det innefattar rätten att uttrycka åsikter, synpunkter, information och idéer även sådana som kan betraktas som chockerande eller stötande. Trots namnet kan detta undantag åberopas av vem som helst, oavsett om man är professionell journalist eller inte. Det är syftet som spelar roll, inte vem författaren är. Undantaget gäller även för politiska partiers verksamhet.

Känsliga personuppgifter
När det gäller information om en individs politiska åsikter är det viktigt att notera att det rör sig om känsliga personuppgifter. Känsliga uppgifter är kategorier av uppgifter som är strikt reglerade eftersom de kan missbrukas för att kränka en persons grundläggande mänskliga rättigheter, t.ex. tanke-, samvets-, religions- eller yttrandefrihet, eller missbrukas för diskriminerande ändamål. Politiska åsikter erkänns inte som en skyddad egenskap i den svenska diskrimineringslagen. Det är dock en skyddad egenskap enligt artikel 9 i GDPR.

Även när man kombinerar eller använder information som verkar harmlös, såsom ålder, kön, intressen och bostadsort eller till och med besökta webbsidor för att gissa någons politiska politiska ståndpunkt, definieras detta i GDPR som personuppgifter som avslöjar någons politiska åsikter. Uppgifternas riktighet spelar inte heller någon roll, om den politiska aktören tror att någon är socialdemokrat fastän den är kristdemokrat, behandlar den fortfarande personuppgifter om politiska åsikter.

Delat personuppgiftsansvar och den registrerades rättigheter
Om en politisk aktör använder ett socialt medium för att rikta sig till väljare är det enligt IMY oftast fråga om ett delat personuppgiftsansvar. Den politiska aktören och sociala medieföretaget måste ingå en offentlig överenskommelse som förklarar för de registrerade vilken personuppgiftsansvarig som är ansvarig för vilken del av databehandlingen. I riktlinjerna nämns också att politiska aktörer måste ha rutiner för att se till att de registrerade kan utöva sina rättigheter på ett smidigt sätt. De registrerade har rätt att invända mot databehandlingen när en organisation skickar ett meddelande för att uppmuntra någon att rösta på dem, gå med i organisationen eller donera pengar.

Personuppgiftsansvariga måste också vara medvetna om reglerna för överföringar till tredje land samt kraven på att tillhandahålla adekvat säkerhet. Politiska partier måste också hantera sina medlemmars och sympatisörers personuppgifter med respekt och försiktighet. Partierna bör inte göra något som deras väljare inte rimligen kan förvänta sig. Ett exempel är att en person som besöker ett möte med ett politiskt parti knappast kan antas vara villig att få sin bild publicerad på sociala medier.

Politiska partier förväntas ha ett högre dataskydd
När det gäller säkerhet finns det också ett intressant fall från Nederländerna. En provinsiell avdelning av ett nederländskt politiskt parti fick 7500 euro i sanktionsavgift för en personuppgiftsincident. När partiet skickade en inbjudan till ett valmöte för sina sympatisörer via e-post, offentliggjorde partiet av misstag en lista med 101 mottagare för alla som fick e-postmeddelandet. Partiet straffades av dataskyddsmydigheten både för att ha underlåtit att rapportera personuppgiftsincidenten i tid och för att ha avslöjat känsliga personuppgifter.

Partiet hävdade att det faktum att någon fanns med på listan inte utgjorde känsliga personuppgifter som avslöjade en politisk åsikt. Den nederländska dataskyddsmyndigheten höll dock inte med. Myndigheten analyserade e-postmeddelandets innehåll och målgrupp, det faktum att det var en inbjudan till ett valmöte för ett politiskt parti och vad som skulle hända vid evenemanget vägde tungt. Genom en samlad bedömning drog myndigheten slutsatsen att det var mycket troligt att åtminstone en del av dessa 101 e-postadresser tillhörde personer som anmält sig för att de sympatiserar med partiets idéer och att listan därför utgjorde känsliga uppgifter.

Dataskyddsmyndigheten konstaterade också att personuppgiftsincidenten innebar en hög risk för enskilda personers rättigheter och friheter. Dataskyddsmyndigheten klargjorde att när det gäller känsliga personuppgifter som avslöjar en politisk åsikt måste man hypotetiskt anta att den registrerade sannolikt kommer att lida skada som kan vara materiell, ryktesmässig eller diskriminerande till sin natur. Den nederländska dataskyddsmyndigheten konstaterade att politiska partier behandlar känsliga personuppgifter, vilket innebär en större risk för en person vars rätt till dataskydd kränks. Därför klargjorde den nederländska dataskyddsmyndigheten att ett politiskt parti har ett mer omfattande ansvar för att upprätthålla en hög nivå av dataskydd.

Slutligen är det värt att nämna att EU-kommissionen i november 2021 föreslog en ny EU-lag om politisk reklam. Enligt pressmeddelandet var tanken att politiska aktörer inte skulle vara tillåtna att använda känsliga personuppgifter för riktad reklam. I pressmeddelandet angavs också att den föreslagna lagen skulle bygga på och komplettera GDPR och Digital Services Act.

Läs mer här:

IMYs pressrelease från 18Maj 2022

Pressrelease om Nederländska datasskyddsmyndighetens tillsynsbeslut mot ett regionalt politiskt parti 2021 (Nederländska)

Press release från EU-kommissionen 25 November 2021

Digital Services Act