FV22: Cambridge Analytica-metoderne spøger stadig
Nye Borgerlige og Liberal Alliance er allerede inden valgets udskrivelse blevet taget med fingrene i GDPR-kagedåsen, skriver tech-mediet Radar. De to partier har formentlig i strid med GDPR-reglerne brugt “kundelister” til at målrette Facebook-annoncer. Metoden kræver eksplicit samtykke, som i praksis er umuligt at indhente. Formanden for IT-Politisk Forening vurderer, at den ulovlige metode er vidt udbredt, og en professor mener, at fremgangsmåden ligner sagen med Cambridge Analytica. Datatilsynet har skærpet opmærksomhed på det netop udskrevne folketingsvalg.
af Mikkel Skov Petersen
Liberal Alliance og Nye Borgerlige har anvendt såkaldte “kundelister” med enten e-mail, telefonnummer eller adresse i deres Facebook-annoncering. Det skriver tech-mediet Radar.
Kundelisterne er informationer om personer, der på anden vis har været i kontakt med partierne. Det kan f.eks. være medlemmer eller økonomiske donorer. Partierne har brugt listerne til at ramme lignende målgrupper med annoncer på Facebook.
“Konkret opretter man et “look alike-audience” på baggrund af data fra f.eks. medlemmer af et politisk parti. Så målretter man annoncer mod ukendte personer, der er venner med eller ligner medlemmerne. For at fremgangsmåden skal være lovlig, skal partiet indhente samtykke fra både medlemmerne og de ukendte personer,” forklarer Jesper Lund, der er formand for It-Politisk Forening, til Kforum.
“Konkret opretter man et “look alike-audience” på baggrund af data fra f.eks. medlemmer af et politisk parti. Så målretter man annoncer mod ukendte personer, der er venner med eller ligner medlemmerne. For at fremgangsmåden skal være lovlig, skal partiet indhente samtykke fra både medlemmerne og de ukendte personer,” forklarer Jesper Lund, der er formand for It-Politisk Forening, til Kforum.
“Det ligner lidt sagen med Cambridge Analytica”
Da oplysningerne stammer fra politisk sammenhæng, er der tale om såkaldte følsomme personoplysninger. Sådanne informationer må ifølge GDPR-reglerne ikke deles med tredjepart, i dette tilfælde Facebook, uden at der er indhentet et samtykke fra personerne, som optræder på listen, samt de personer, der optræder i et “look alike-audience”.
“Det er brud mod GDPR-loven. Medmindre folk eksplicit har sagt ja til det. Og det er stort set umuligt at lave den slags klausul. Sociale medier har ukendte modtagere, så en klausul vil være alt for bredspektret til at leve op til GDPR,” siger Louise Barkhuus, der er professor i computer science på IT-Universitetet, til Radar og uddyber:
“Jeg synes, at det er uetisk. Det ligner lidt sagen med Cambridge Analytica. Vi har GDPR, så det burde ikke kunne lade sig gøre mere.”
Med Cambridge Analytica henviser Louise Barkhuus til analysefirmaet, der i stor skala benyttede samme praksis til at påvirke en række valg, herunder Brexit-afstemningen i Storbritannien og det amerikanske præsidentvalg i 2016.
“Principielt er den beskrevne fremgangsmåde, mikrotargetting og politisk profilering gennem misbrug af følsomme personoplysninger; det samme som Cambridge Analytica benyttede sig af. Dengang tillod Facebook scraping af en masse oplysninger fra platformen. Det har Facebook lukket for, men tilbyder så i stedet samme service,” siger Jesper Lund med henvisning til Facebooks avancerede muligheder for at målrette annoncer på baggrund af interesser.
“Principielt er den beskrevne fremgangsmåde, mikrotargetting og politisk profilering gennem misbrug af følsomme personoplysninger; det samme som Cambridge Analytica benyttede sig af. Dengang tillod Facebook scraping af en masse oplysninger fra platformen. Det har Facebook lukket for, men tilbyder så i stedet samme service,” siger Jesper Lund med henvisning til Facebooks avancerede muligheder for at målrette annoncer på baggrund af interesser.
Cambridge Analytica indsamlede data fra millioner af Facebookbrugere uden deres samtykke, og benyttede disse data til bl.a. politisk annoncering. Foto: Mark Lennihan/AP/Ritzau Scanpix
Datatilsynet er opmærksomme på valget
Datatilsynet er den myndighed, der håndhæver GDPR og holder øje med behandling af bl.a. personoplysninger.
Uden at tage stilling til den konkrete sag kan kommunikationskonsulent Anders Due hos Datatilsynet oplyse, at tilsynets sanktionsmuligheder ved overtrædelse af GDPR-reglerne spænder fra at udtale kritik over udstedelse af forbud og påbud til bøde.
Sanktionens alvor vil bl.a. afhænge af, hvor mange personer der er berørt af det pågældende brud på GDPR-reglerne, samt om der er tale om følsomme personoplysninger.
Anders Due oplyser desuden, at Datatilsynet er særligt opmærksomme på folketingsvalget, og at man 4. oktober – dagen før valgudskrivelsen – har udsendt en vejledning “der er målrettet politiske aktører og handler om de regler i GDPR, der er særligt relevante i forbindelse med valgkampagner.”
Den vejledning har Jesper Lund læst:
“I Datatilsynets vejledning er der eksempler, der er casestories på, hvad de politiske partier har gjort i årevis,” siger han og fortsætter:
“Jeg gætter på, at fremgangsmåden er meget udbredt. Den kan også bruges ved at benytte Facebooks interessekategorier, så man rammer personer, der har udvist interesse i et givent parti. I alle tilfælde, så er der tale om en overtrædelse af GDPR’s artikel 9, der kræver udtrykkeligt samtykke fra alle, når der er tale om noget som helst politisk. Så jeg tror kun, det er toppen af isbjerget.”
Sjov timing, ikke? Datatilsynet har lige udgivet en ny vejledning om #GDPR og valgkampe 🤗 Vejledningen sætter særligt fokus på detaljeret målretning og markedsføring på fx sociale medier https://t.co/lrMBoMfcr0
— Anders Due (@andersdue) October 4, 2022
Risiko for bøder, forbud og erstatningssager
Jesper Lund fortæller, at i disse tilfælde er Facebook, partiet og/eller kandidaten fælles dataansvarlig. Det er derfor ikke kun Facebook, der kan holdes ansvarlig. Kandidaten eller partiet behandler selv data, udvælger en gruppe og behandler følsomme personoplysninger.
Hvis en klage over manglende samtykke er stilet til Facebook, så sendes den til Irland, hvor Facebook har adresse. Hvis der derimod klages over partiet eller kandidaten, der er hjemmehørende i Danmark, så kan Datatilsynet selv behandle den.
“Datatilsynet har kompetence til at henvende sig direkte til partiet eller kandidaten, der altså ikke bare kan tørre klagen af på Facebook,” siger formanden for IT-Politisk Forening.
Bøder for overtrædelse af GDPR-reglerne kan lyde på op til 20 mio. euro. Der skal selvfølgelig være en proportionalitet mellem overtrædelsen og bødens størrelse.
Bøder for overtrædelse af GDPR-reglerne kan lyde på op til 20 mio. euro. Der skal selvfølgelig være en proportionalitet mellem overtrædelsen og bødens størrelse.
Datatilsynet glemmer at skrive i deres vejledning, at det i praksis er umuligt at indhente samtykke fra alle. Mit råd er derfor: “Det meste af det, I har tænkt jer at gøre, er ikke lovligt, så lad være".
“I teorien kunne Datatilsynet også udstede et forbud mod et partis kampagne. De har kompetencen og er uafhængige ligesom domstolene. I praksis er det dog ikke så sandsynligt, at de vil skride til dette skridt”, siger Jesper Lund og tilføjer:
“Realistisk vil en sådan klage formentlig først blive behandlet efter valget.”
En borger, der klager og får medhold, kan også få erstatning. Jesper Lund henviser til en sag fra Østrig som eksempel.
En borger, der klager og får medhold, kan også få erstatning. Jesper Lund henviser til en sag fra Østrig som eksempel.
“Det østrigske postvæsen havde omdelt materiale fra det konservative parti til en borger uden samtykke, og borgeren fik i første omgang tildelt 800 euro i erstatning. Sagen blev siden appelleret og kører nu ved EU-Domstolen. Der er derfor en risiko for erstatningssager mod partiet eller kandidaten,” fortæller han.
Jesper Lund har en generel opfordring til håbefulde partier og kandidater, der overvejer Facebook-annoncering.
“Datatilsynet glemmer at skrive i deres vejledning, at det i praksis er umuligt at indhente samtykke fra alle. Mit råd er derfor: “Det meste af det, I har tænkt jer at gøre, er ikke lovligt, så lad være”.
Ifølge mediet Markedsføring har partierne de seneste tre måneder op til valgudskrivelsen samlet brugt 2,79 millioner på Facebook-annoncering.
Ifølge mediet Markedsføring har partierne de seneste tre måneder op til valgudskrivelsen samlet brugt 2,79 millioner på Facebook-annoncering.
Liberal Alliances presserådgiver, Mads Strange, ønsker ikke at oplyse til Kforum, om partiet har indhentet samtykke fra personerne på kundelisten såvel som de personer, der er blevet eksponeret for annoncen.
Nye Borgerliges pressechef, Lars Kaaber, er ikke vendt tilbage på Kforums henvendelse med samme spørgsmål, men har tidligere til Radar afvist at kommentere sagen.
