Politisk mikrotargetting er oftest ulovlig
FV22: Cambridge Analytica-metoderne spøger stadig

Datatilsynet har skærpet opmærksomhed på folketingsvalget, der kan friste svage sjæle til at bryde GDPR-reglerne om politisk annoncering. Tilsynet har kompetence til at nedlægge forbud mod et partis kampagne. Foto: Datatilsynet

Skrevet af
Nye Borgerlige og Liberal Alliance er allerede inden valgets udskrivelse blevet taget med fingrene i GDPR-kagedåsen, skriver tech-mediet Radar. De to partier har formentlig i strid med GDPR-reglerne brugt “kundelister” til at målrette Facebook-annoncer. Metoden kræver eksplicit samtykke, som i praksis er umuligt at indhente. Formanden for IT-Politisk Forening vurderer, at den ulovlige metode er vidt udbredt, og en professor mener, at fremgangsmåden ligner sagen med Cambridge Analytica. Datatilsynet har skærpet opmærksomhed på det netop udskrevne folketingsvalg.
Liberal Alliance og Nye Borgerlige har anvendt såkaldte “kundelister” med enten e-mail, telefonnummer eller adresse i deres Facebook-annoncering. Det skriver tech-mediet Radar.
 
Kundelisterne er informationer om personer, der på anden vis har været i kontakt med partierne. Det kan f.eks. være medlemmer eller økonomiske donorer. Partierne har brugt listerne til at ramme lignende målgrupper med annoncer på Facebook.

“Konkret opretter man et “look alike-audience” på baggrund af data fra f.eks. medlemmer af et politisk parti. Så målretter man annoncer mod ukendte personer, der er venner med eller ligner medlemmerne. For at fremgangsmåden skal være lovlig, skal partiet indhente samtykke fra både medlemmerne og de ukendte personer,” forklarer Jesper Lund, der er formand for It-Politisk Forening, til Kforum.
 

“Det ligner lidt sagen med Cambridge Analytica”

Da oplysningerne stammer fra politisk sammenhæng, er der tale om såkaldte følsomme personoplysninger. Sådanne informationer må ifølge GDPR-reglerne ikke deles med tredjepart, i dette tilfælde Facebook, uden at der er indhentet et samtykke fra personerne, som optræder på listen, samt de personer, der optræder i et “look alike-audience”.
 
“Det er brud mod GDPR-loven. Medmindre folk eksplicit har sagt ja til det. Og det er stort set umuligt at lave den slags klausul. Sociale medier har ukendte modtagere, så en klausul vil være alt for bredspektret til at leve op til GDPR,” siger Louise Barkhuus, der er professor i computer science på IT-Universitetet, til Radar og uddyber:
 
“Jeg synes, at det er uetisk. Det ligner lidt sagen med Cambridge Analytica. Vi har GDPR, så det burde ikke kunne lade sig gøre mere.”
 
Med Cambridge Analytica henviser Louise Barkhuus til analysefirmaet, der i stor skala benyttede samme praksis til at påvirke en række valg, herunder Brexit-afstemningen i Storbritannien og det amerikanske præsidentvalg i 2016.

“Principielt er den beskrevne fremgangsmåde, mikrotargetting og politisk profilering gennem misbrug af følsomme personoplysninger; det samme som Cambridge Analytica benyttede sig af. Dengang tillod Facebook scraping af en masse oplysninger fra platformen. Det har Facebook lukket for, men tilbyder så i stedet samme service,” siger Jesper Lund med henvisning til Facebooks avancerede muligheder for at målrette annoncer på baggrund af interesser.
 
Cambridge Analytica indsamlede data fra millioner af Facebookbrugere uden deres samtykke, og benyttede disse data til bl.a. politisk annoncering. Foto: Mark Lennihan/AP/Ritzau Scanpix
 

Datatilsynet er opmærksomme på valget

Datatilsynet er den myndighed, der håndhæver GDPR og holder øje med behandling af bl.a. personoplysninger. 
 
Uden at tage stilling til den konkrete sag kan kommunikationskonsulent Anders Due hos Datatilsynet oplyse, at tilsynets sanktionsmuligheder ved overtrædelse af GDPR-reglerne spænder fra at udtale kritik over udstedelse af forbud og påbud til bøde.
 
Sanktionens alvor vil bl.a. afhænge af, hvor mange personer der er berørt af det pågældende brud på GDPR-reglerne, samt om der er tale om følsomme personoplysninger.
 
Anders Due oplyser desuden, at Datatilsynet er særligt opmærksomme på folketingsvalget, og at man 4. oktober – dagen før valgudskrivelsen – har udsendt en vejledning “der er målrettet politiske aktører og handler om de regler i GDPR, der er særligt relevante i forbindelse med valgkampagner.”
 
Den vejledning har Jesper Lund læst:
 
“I Datatilsynets vejledning er der eksempler, der er casestories på, hvad de politiske partier har gjort i årevis,” siger han og fortsætter:
 
“Jeg gætter på, at fremgangsmåden er meget udbredt. Den kan også bruges ved at benytte Facebooks interessekategorier, så man rammer personer, der har udvist interesse i et givent parti. I alle tilfælde, så er der tale om en overtrædelse af GDPR’s artikel 9, der kræver udtrykkeligt samtykke fra alle, når der er tale om noget som helst politisk. Så jeg tror kun, det er toppen af isbjerget.”
 


Risiko for bøder, forbud og erstatningssager

Jesper Lund fortæller, at i disse tilfælde er Facebook, partiet og/eller kandidaten fælles dataansvarlig. Det er derfor ikke kun Facebook, der kan holdes ansvarlig. Kandidaten eller partiet behandler selv data, udvælger en gruppe og behandler følsomme personoplysninger.
 
Hvis en klage over manglende samtykke er stilet til Facebook, så sendes den til Irland, hvor Facebook har adresse. Hvis der derimod klages over partiet eller kandidaten, der er hjemmehørende i Danmark, så kan Datatilsynet selv behandle den.
 
“Datatilsynet har kompetence til at henvende sig direkte til partiet eller kandidaten, der altså ikke bare kan tørre klagen af på Facebook,” siger formanden for IT-Politisk Forening.

Bøder for overtrædelse af GDPR-reglerne kan lyde på op til 20 mio. euro. Der skal selvfølgelig være en proportionalitet mellem overtrædelsen og bødens størrelse.
 
Datatilsynet glemmer at skrive i deres vejledning, at det i praksis er umuligt at indhente samtykke fra alle. Mit råd er derfor: “Det meste af det, I har tænkt jer at gøre, er ikke lovligt, så lad være".

“I teorien kunne Datatilsynet også udstede et forbud mod et partis kampagne. De har kompetencen og er uafhængige ligesom domstolene. I praksis er det dog ikke så sandsynligt, at de vil skride til dette skridt”, siger Jesper Lund og tilføjer:
 
“Realistisk vil en sådan klage formentlig først blive behandlet efter valget.”

En borger, der klager og får medhold, kan også få erstatning. Jesper Lund henviser til en sag fra Østrig som eksempel.
 
“Det østrigske postvæsen havde omdelt materiale fra det konservative parti til en borger uden samtykke, og borgeren fik i første omgang tildelt 800 euro i erstatning. Sagen blev siden appelleret og kører nu ved EU-Domstolen. Der er derfor en risiko for erstatningssager mod partiet eller kandidaten,” fortæller han.
 
Jesper Lund har en generel opfordring til håbefulde partier og kandidater, der overvejer Facebook-annoncering.
 
“Datatilsynet glemmer at skrive i deres vejledning, at det i praksis er umuligt at indhente samtykke fra alle. Mit råd er derfor: “Det meste af det, I har tænkt jer at gøre, er ikke lovligt, så lad være”.

Ifølge mediet Markedsføring har partierne de seneste tre måneder op til valgudskrivelsen samlet brugt 2,79 millioner på Facebook-annoncering.
 
Liberal Alliances presserådgiver, Mads Strange, ønsker ikke at oplyse til Kforum, om partiet har indhentet samtykke fra personerne på kundelisten såvel som de personer, der er blevet eksponeret for annoncen.
 
Nye Borgerliges pressechef, Lars Kaaber, er ikke vendt tilbage på Kforums henvendelse med samme spørgsmål, men har tidligere til Radar afvist at kommentere sagen.

Relaterede artikler

DSA: GDPR har fået en muskuløs storesøster - Forbrugerne har mange grunde til at juble over Digital Services Act, der har et tydeligt dansk aftryk. Men den afskaffer...
Selvom vi hader politikerselfies, elsker vi stadig selfies - Aldrig har vi været mere frustrerede over at blive inviteret indenfor. Vi er med statsministeren i køkkenet til frikadel...
Google Analytics er ulovligt: Her er alternativerne - Datatilsynet konkluderede onsdag i sidste uge, at analyseværktøjet Google Analytics ikke uden videre kan bruges lovligt....
7 ønsker til den politiske journalistik under valgkampen - Der er udskrevet valg, og dermed er der sat gang i en massiv dækning fra alle journalistiske medier i riget, mens alle p...
Det mytiske momentum: Når alt bliver succes - Kommentatorer og valgforskere måber. For en måned siden lå Lars Løkkes comeback-projekt Moderaterne under spærregrænsen....
Valgets dyreste stemmer er… - Hvilke partistemmer har været dyrest? Og hvilke har været billigst? Hvis man vel at mærke alene ser på partiernes udgift...
Håndgemæng og håndmadder i Nye Borgerlige - Ingen partier ønsker at blive forbundet med vold, trusler og chikane. Slet ikke, når det involverer en frontfigur. Manda...

Kommentarer

Få nyhedsbrev

41 JOB

Digital Kommunikationskonsulent

Se alle job Indryk job

Ugens profil

Julie Bauer Larsen

Julie Bauer Larsen bliver ny leder af Kommunikation og Fundraising hos foreningen Grønlandske Børn fra december. Hun kommer fra en stilling som kommunikationsansvarlig i Røde Kors Hovedstaden.   

Job

Kommunikationsmedarbejder

Frist: 30. november

Kommunikationsmedarbejder

Frist: 5. december

Grafiker

Frist: 9. december
Se alle job Indryk job

Få nyhedsbrev

Få nyhedsbrev

Alt hvad du behøver at vide om kommunikation i din indbakke.

Ud over nyhedsbrevet får du max to andre faglige e-mails om ugen.