Bliver folketingsvalget disruptet?

Mon partierne, der vil vælges ind på Christiansborg, har helt styr på GDPR i valgkampen, spørger Jakob Denderoth Bernhoft.
Mon partierne, der vil vælges ind på Christiansborg, har helt styr på GDPR i valgkampen, spørger Jakob Denderoth Bernhoft.

’Profilering’ er et stærk værktøj i en valgkamp – men spørgsmålet er, om de politiske organisationer har fuldstændig styr på de krav, GDPR stiller til brugen af dette redskab. Jakob Dedenroth Bernhoft tillader sig i denne uges ’Privacy på spidsen’ at tvivle og advarer om, at det vil være oplagt for Datatilsynet at undersøge partiernes brug af persondata.

Folketingsvalget nærmer sig. Nogen troede, at valget blev udskrevet i denne uge, andre at det først er i næste uge eller senere. Under alle omstændigheder skal det afholdes senest den 17. juni 2019. Der er derfor gået valgkamp i det politiske arbejde, og partierne er i fuld gang med at trykke valgplakater, købe kuglepenne, balloner og brochurer en masse.

De vælgere, som er interessante for partierne, er dem som endnu ikke har besluttet sig for, hvad de skal stemme og måske kan overtales til at stemme på ens parti. De, som er sikre på, hvor de vil sætte krydset, er ikke så interessante i denne sammenhæng. Men hvordan finder man så de interessante vælgere? Hvor er det særligt godt at dele balloner ud? Et værktøj til at give et svar på det spørgsmål, hedder ’profilering’ – men det er bare ikke uden GDPR-udfordringer.

Profilering
»profilering«: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser (art. 4, stk. 1, litra 4)

Datamæglere og marketingfolk indsamler data om enkeltpersoner fra offentlige hjemmesider, offentlige registre, Instagram, Twitter, LinkedIn, Facebook osv., og her er et hav af oplysninger om de enkelte vælgere: Navn, alder, adresse, boligform, gæld/formue, arbejdsplads, evt. bil, venner, hobbies, single eller i forhold og så videre.

Disse data analyseres til at udlede yderligere, ukendte oplysninger om dig: Hvad du skal købe næste gang, din sandsynlighed for at være kvinde, chancerne for at du er konservativ, din nuværende følelsesmæssige tilstand, hvor pålidelig du er, om du er heteroseksuel osv.

Det lyder lidt som science fiction, men det er det ikke. IBM sælger for eksempel et værktøj, som hedder Personality Insights og som: ”Gain insight into how and why people think, act, and feel the way they do. This service applies linguistic analytics and personality theory to infer attributes from a person's unstructured text.” Motoren er IBM Watson, som kan håndtere data svarende til 1 mio. bøger i sekundet. Måske lidt uhyggeligt…?

Profilering af vælgere
Men hvor er det så, man skal dele ballonerne ud, som jeg spurgte indledningsvist? Med indsamling af tilstrækkelige persondata, så kan man få en profil på den vælgergruppe, som man skal henvende sig til. Altså de, som ikke har besluttet hvilket parti, de vil stemme på, og som kan påvirkes til at stemme på ens parti. Man kan finde ud af hvor de bor, hvilken type af politisk arrangement de kunne være interesseret at deltage i, hvordan man skal henvende sig i reklamer, hvilke mærkesager man skal tage op etc.

GDPR gælder også i politik
Men hvad med beskyttelsen af persondata? Det er jo alt sammen persondata, der indsamles, og selv om det er politiske partier, som indsamler det i demokratiets navn, så gælder GDPR. ”Ingen over og ingen ved siden af GDPR”, som man siger…

I indledningen til GDPR-forordningen står (præambel 72): ”Profilering er omfattet af reglerne i denne forordning vedrørende behandlingen af personoplysninger, såsom retsgrundlaget for behandling og databeskyttelsesprincipper”.

Derfor er det vigtigt at se på, om man overholder forordningen, når man anvender profilering. Der er en lang række af krav, som skal overvejes:

  • Brugen af data fra databrokere, hvor de pågældende personer ikke har givet samtykke og hvor data måske kan være ukorrekte (art. 6 og art 5 litra d).
  • Samtidig kan de pågældende personer mangle information om, hvad deres data bruges til (art. 13)
  • Der skal ske en rimelig behandling af persondata (art 5, stk. 1 litra a)
  • Race og politisk overbevisning – hvis det fremgår – er følsomme oplysninger (art. 9)
  • Opbevaringsbegrænsning skal overholdes (art. 5, stk. 1 litra e)
  • Er databroker databehandler eller dataansvarlig (art. 24 og 28)?
  • Skal der indgås databehandleraftale(r) (art 24, stk. 3)
  • Skal der foretages en konsekvensanalyse (Art. 35)?
  • Osv.

Jeg kan godt være i tvivl om, at de som anvender profilering, har nærlæst forordningen og følger den.

IOC (Information Commissioner’s Office) i England lavede en undersøgelse november 2018 blandt 11 forskellige politiske partier - Investigation into the use of data analytics in political campaigns - og fandt væsentlige fejl hos stort set alle partier i forhold til beskyttelse af persondata. IOC pegede blandt andet på, at der ikke forelå konsekvensanalyser (Art. 35), men det er et krav i det omfang man behandlede oplysning om etnicitet og politisk overbevisning.

Advarsel til partierne
Jeg tror ikke, der er grund til at formode, at det står meget anderledes til herhjemme. Jeg vil i den forbindelse give en lille advarsel til partierne: Det vil være oplagt for Datatilsynet at undersøge partiernes brug af persondata på et tidspunkt, så sørg nu for at blive compliant. Det vil også være en god historie i medierne, hvis et parti ikke har styr på den persondata, de ligger inde med.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle