Brussels, 12.9.2018

COM(2018) 638 final

Free and Fair elections

GUIDANCE DOCUMENT

Commission guidance on the application of Union data protection law in the electoral context



The European Commission's contribution to the Leaders' meeting in

Salzburg, 20 September 2018















Kommissionens vägledning om tillämpningen av EU:s dataskyddslagstiftning i ett valsammanhang

Kontakterna med valmanskåren är själva grunden för den demokratiska processen. Det är sedan länge praxis bland de politiska partierna att skräddarsy valbudskap till olika målgrupper, med hänsyn till deras särskilda intressen. Därför är det naturligt för aktörer som deltar i val att undersöka möjligheterna att använda data för att vinna röster. Uppkomsten av digitala verktyg och onlineplattformar har skapat många nya möjligheter att komma i kontakt med människor i den politiska debatten.

Utvecklingen av riktade budskap till väljare på individnivå (micro-targeting) på grundval av olaglig behandling av personuppgifter är dock en annan sak, vilket framgår av avslöjandena kring Cambridge Analytica. Detta illustrerar vilka utmaningar som modern teknik ger upphov till, men det visar också hur särskilt viktig datasskyddet är i valsammanhang. Det har blivit en central fråga inte bara gäller den enskilde utan också hur våra demokratier fungerar, eftersom dessa utmaningar utgör ett allvarligt hot mot en rättvis, demokratisk valprocess. Dessutom kan de potentiellt undergräva öppen debatt, rättvisa och insyn som är grundläggande inslag i en demokrati. För kommissionen är det av yttersta vikt att ta itu med denna fråga för att återupprätta allmänhetens förtroende för valprocessen sker på ett rättvist rätt.

De första rapporterna från den brittiska dataskyddsmyndigheten (Information Commissioner’s Office – ICO) om användningen av dataanalys i politiska kampanjer 1 och yttrandet från Europeiska datatillsynsmannen om manipulation och personuppgifter 2 bekräftar att riktade budskap på individnivå, som ursprungligen utvecklats för kommersiella ändamål inverkar altmer i valsammanhang.

Flera dataskyddsmyndigheter har mer allmänt tagit upp frågan om dataskydd i valsammanhang 3 .

Europaparlamentets och rådets förordning (EU) nr 2016/679 (allmänna dataskyddsförordningen) 4 , som blev direkt tillämplig i hela unionen den 25 maj 2018, ger unionen de verktyg som behövs för att hantera fall av olaglig användning av personuppgifter i ett valsammanhang. Det enda sättet att bidra till skyddet av den demokratiska politikens integritet kommer att vara en fast och konsekvent tillämpning av reglerna. Eftersom det är första gången som de tillämpas i samband med val till Europaparlamentet, är det viktigt att skapa klarhet för de aktörer som deltar i valprocessena – t.ex. nationella valmyndigheter, partier, datamäklare och analytiker samt plattformar för sociala medier och onlinenätverk. Syftet med denna vägledning är därför att lyfta fram de dataskyddsrelaterade skyldigheter som är av betydelse i valsammanhang. Eftersom de nationella dataskyddsmyndigheterna ansvarar för verkställandet av allmänna dataskyddsförordningen, ska de till fullo utnyttja sina utökade befogenheter att åtgärda eventuella överträdelser, särskilt om de hänger samman med riktade budskap till väljare på individnivå.

1.Unionens dataskyddsram

Skyddet av personuppgifter är en grundläggande rättighet som fastställs i stadgan om de grundläggande rättigheterna (artikel 8) och i fördragen (artikel 16 i EUF-fördraget). Genom allmänna dataskyddsförordningen stärks ramen för dataskydd, vilket gör EU bättre rustat att hantera missbruk av personuppgifter i framtiden. Dessutom får samtliga aktörer en högre grad av ansvarsskyldighet och ett ökat ansvar för sin hantering av personuppgifter.

Förordningen ger människor i EU nya och förstärkta rättigheter, vilket är särskilt relevanta i ett valsammanhang: De dataskyddsregler som har gällt i unionen de senaste 20 åren försvagades särskilt av medlemsstaternas splittrade tillämpning av dem, avsaknad av formaliserade mekanismer för samarbete mellan nationella dataskyddsmyndigheter och dessa myndigheters begränsade befogenheter att driva igenom reglerna. Detta är brister som nu avhjälps genom den allmänna dataskyddsförordningen. Den bygger vidare på beprövade dataskyddsprinciper harmoniseras i och med förordningen centrala begrepp som t.ex. ”samtycke”, stärker enskilda personers rätt att få information om behandlingen av deras personuppgifter, klargör villkoren för när personuppgifter får spridas vidare, inför bestämmelser om personuppgiftsincidenter, fastställer en mekanism för samarbete mellan uppgiftsskyddsmyndigheter i samband med gränsöverskridande ärenden och stärker deras befogenheter att driva igenom reglerna. Om EU:s dataskyddsregler överträds har dataskyddsmyndigheterna befogenhet att utreda (t.ex. begära in information och utföra inspektioner hos personuppgiftsansvariga och personuppgiftsbiträden) och att korrigera beteenden (t.ex. utfärda varningar och reprimander, eller tillfälligt eller definitivt avbryta uppgiftsbehandlingen). De har också befogenhet att fatta beslut om böter på högst 20 miljoner euro eller, om det gäller företag, på högst 4 % av omsättningen 5 . Vid beslut om böter och bötesbeloppens storlek ska dataskyddsmyndigheterna beakta omständigheterna i det enskilda fallet och faktorer såsom uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet personerregistrerade som berörs och den skada som de har lidit 6 . I ett valsammanhang är det troligt att överträdelsens svårighetsgrad och antalet berörda personer kommer att vara omfattande. Detta kan medföra höga böter, särskilt med tanke på frågans betydelse för medborgarnas förtroende för den demokratiska processen.

Den nyligen inrättade Europeiska dataskyddsstyrelsen, som sammanför alla nationella dataskyddsmyndigheter samt Europeiska datatillsynsmannen, spelar en nyckelroll i tillämpningen av allmänna dataskyddsförordningen genom att styrelsen utfärdar riktlinjer, rekommendationer och bästa praxis 7 . Eftersom nationella dataskyddsmyndigheter både ansvarar för att allmänna dataskyddsförordningen verkställs och fungerar som direkta kontaktpunkter för intressenter är de väl lämpade att bidra till den rättsliga förutsebarheten i samband med tolkningen av den. Kommissionen stöder aktivt det arbetet.

Direktivet om integritet och elektronisk kommunikation (Europaparlamentets och rådets direktiv 2002/58/EG 8 ), kompletterar unionens ram för dataskydd, och är relevant i ett valsammanhang eftersom dess tillämpningsområde innefattar bestämmelser om elektroniska utskick av oönskade meddelanden för direkt marknadsföring. Genom direktivet om integritet och elektronisk kommunikation fastställs också bestämmelser om lagring av uppgifter och tillgång till redan lagrade uppgifter, t.ex. kakor som kan användas för att spåra användarens beteende på nätet, i terminalutrustning, exempelvis smarta telefoner eller datorer. Kommissionens förslag till förordning om integritet och elektronisk kommunikation 9 , som för närvarande är föremål för förhandling, bygger på samma principer som direktivet om integritet och elektronisk kommunikation. Genom att den nya förordningen kommer att få större räckvidd kommer inte bara traditionella telekomoperatörer utan även internetbaserade kommunikationstjänster att omfattas.

2.Centrala skyligheter för de olika aktörerna

Allmänna dataskyddsförordningen är tillämplig på alla aktörer i ett valsammanhang, t.ex. europeiska och nationella politiska partier (nedan kallade partier), europeiska och nationella politiska stiftelser (nedan kallad stiftelser), plattformar, dataanalysföretag och valmyndigheter. Dessa måste behandla personuppgifter (t.ex. namn och adress) på ett lagligt, korrekt och öppet sätt, och endast för specifika ändamål. Uppgifterna får användas på ett sätt som är oförenligt med de ändamål som uppgifterna ursprungligen samlades in för. Behandling för journalistiska ändamål faller i princip också under allmänna dataskyddsförordningens tillämpningsområde, men kan omfattas av undantag enligt nationell lagstiftning, med tanke på hur viktig yttrandefriheten och informationsfriheten är i ett demokratiskt samhälle 10 .

Begreppet ”personuppgifter” är vidsträckt. Personuppgifter är alla uppgifter med koppling till en identifierad eller identifierbar fysisk person. Uppgifter som behandlas i ett valsammanhang inbegriper ofta särskilda kategorier av personuppgifter (”känsliga uppgifter”), exempelvis politisk åskådning, medlemskap i fackförening, etniskt ursprung, sexualliv osv. som åtnjuter ett starkare skydd 11 . Genom dataanalys kan man utifrån dataset med icke känsliga uppgifter dessutom härleda ”känsliga uppgifter” (.t.ex. politiska åsikter, men även religiösa övertygelse eller sexuell läggning) från dataset av icke känsliga uppgifter. Behandling av sådana härledda uppgifter omfattas även av allmänna dataskyddsförordningen och bör därför uppfylla alla dataskyddsregler.

Sammanfattningsvis omfattas all uppgiftsbehandling i ett valsammanhang av allmänna dataskyddsförordningen.

Med hänsyn till behovet av klarhet för aktörer i ett valsammanhang, och de första resultaten i fallet Cambridge Analytica, behandlas i följande avsnitt de skyldigheter avseende dataskydd som förefaller särskilt relevanta i ett valsammanhang. De sammanfattas i bilagan.

2.1Personuppgiftsansvariga och personuppgiftsbiträden

Begreppet ansvarsskyldighet för personuppgiftsansvariga och personuppgiftsbiträden är centralt i den allmänna dataskyddsförordningen. Den personuppgiftsansvarige är den organisation som, på egen hand eller i samarbete med andra, beslutar om varför och hur personuppgifterna behandlas. Personuppgiftsbiträdet behandlar uppgifter enbart på den personuppgiftsansvarige vägnar eller enligt dennes instruktioner (varvid förhållandet mellan dem fastställs i ett avtal eller annan rättsligt bindande handling). Personuppgiftsansvariga ska vidta lämpliga åtgärder i förhållande till riskerna och implementera uppgiftsskydd som är inbyggt redan från början och kunna visa att behandlingen är förenlig med allmänna dataskyddsförordningen (principen om ansvarsskyldighet).

Den personuppgiftsansvariges eller personuppgiftsbiträdets roll måste bedömas i varje enskilt fall. I ett valsammanhang kan ett antal olika aktörer vara personuppgiftsansvariga: Politiska partier, enskilda kandidater och stiftelser är, i de flesta fall, personuppgiftsansvariga. Plattformar och dataanalysföretag kan vara (gemensamma) personuppgiftsansvariga eller personuppgiftsbiträden för en viss behandling beroende på vilken grad av kontroll som de har under behandlingen 12 . nationella valmyndigheter är personuppgiftsansvariga för röstlängderna.

Om deras uppgiftsbehandling avser utbjudande av varor och tjänster till personer i unionen eller övervakning av dessas beteende i unionen måste företag med säte utanför EU också följa allmänna dataskyddsförordningen. Detta är fallet i fråga om ett antal plattformar och dataanalysföretag.

2.2Principer, behandlingens laglighet och särskilda villkor för ”känsliga uppgifter”

Aktörer som deltar i ett valsammanhang får behandla personuppgifter, t.ex. sådana som erhållits från offentliga källor, endast i enlighet med principerna för behandling av personuppgifter och som grundas på ett begränsat antal grunder som tydligt anges i allmänna dataskyddsförordningen 13 . De mest relevanta grunderna för laglig behandling i ett valsammanhang torde vara en persons samtycke, fullgörandet av en rättslig förpliktelse enligt unionsrätten eller nationell rätt, utförande av ett uppdrag av allmänt intresse samt en av aktörernas berättigade intresse. Aktörerna i ett valsammanhang kan dock endast åberopa berättigat intresse som grund i de fall där de berörda personernas intresse eller grundläggande rättigheter och friheter väger tyngre.

Lagring av information eller tillgång till information som redan är lagrad i terminalutrustning (datorer, smarta telefoner, osv.) måste dessutom vara förenlig med de krav som finns i direktivet om integritet och elektronisk kommunikation angående skydd av terminalutrustning, vilket innebär att den berörda personen måste ge sitt samtycke.

När samtycke används som rättslig grund, krävs enligt allmänna dataskyddsförordningen att denna ges genom en tydlig och bekräftande handling som är frivillig och sker på välinformerad grund 14 . 

Myndigheter som medverkar i ett valsammanhang behandla personuppgifter för att fullgöra en rättslig förpliktelse eller för att utföra ett offentligt uppdrag. Andra aktörer i ett valsammanhang kan behandla uppgifter på grundval av samtycke eller ett berättigat intresse 15 . Om så föreskrivs i den nationella lagstiftningen, kan politiska partier och stiftelser också behandla uppgifter på grundval av allmänt intresse 16 .

Myndigheterna kan till politiska partier lämna ut vissa uppgifter om personer som ingår i röstlängder eller befolkningsregister, när så är uttryckligen tillåtet enligt medlemsstatens nationella rätt, och endast för annonsering i ett valsammanhang och i den utsträckning som krävs för detta ändamål, t.ex. namn och adress.

Uppgiftsbehandling i ett valsammanhang innefattar ofta ”känsliga uppgifter”. Behandlingen av sådana uppgifter, bl.a. härledda ”känsliga uppgifter”, är generellt förbjuden såvida inte någon av de särskilda motiveringarna som föreskrivs i allmänna dataskyddsförordningen är tillämplig 17 . Vid behandling av ”känsliga uppgifter” krävs att specifika, striktare villkor är uppfyllda: Personen ska ha lämnat sitt uttryckliga samtycke 18 eller ha offentliggjort de aktuella uppgifterna 19 . Politiska partier och stiftelser kan också behandla ”känsliga uppgifter” om viktigt allmänt intresse föreligger på grundval av unionsrätten eller medlemsstaternas nationella rätt och lämpliga säkerställande åtgärder har vidtagits 20 . Enligt allmänna dataskyddsförordningen kan de även behandla ”känsliga uppgifter” i den mån dessa enbart avser egna medlemmar eller tidigare medlemmar eller personer som har regelbunden kontakt med dem – dock endast för spridning inom det egna politiska partiet eller stiftelsen 21 . Ett politiskt parti kan dock inte använda denna särskilda bestämmelse för att behandla uppgifter om blivande medlemmar eller väljare.

Ändamålet med uppgiftsbehandlingen bör anges vid tidpunkten för insamlingen (principen om ändamålsbegränsning) 22 . Uppgifter som samlas in för ett ändamål får senare endast behandlas för ändamål som är förenliga, annars måste en ny rättslig grund, som föreskrivs i allmänna dataskyddsförordningen, t.ex. samtycke, sökas för behandlingen avseende det nya ändamålet. Särskilt när datamäklare med inriktning på livsstil eller plattformar samlar in uppgifter för kommersiella ändamål får uppgifterna inte behandlas vidare i ett valsammanhang.

Om partier och politiska stiftelser inte tillämpar tillbörlig aktsamhet och kontrollerar att uppgifterna erhållits på lagligt sätt får de inte använda uppgifter som erhållits från tredje part.

2.3Krav om öppenhet

Fallet med Cambridge Analytica har visat på vikten av att bekämpa otydlighet och att ordentligt informera berörda enskilda personer. Enskilda personer vet ofta inte vem som behandlar deras personuppgifter och för vilket ändamål. Principerna om rättvis och öppen behandling fordrar att de enskilda personerna informeras om att behandling sker och syftet med den 23 . Genom allmänna dataskyddsförordningen klargörs de personuppgiftsansvarigas skyldigheter i detta avseende. De måste informera enskilda personer om centrala aspekter som rör behandlingen av deras personuppgifter, såsom:

·Den personuppgiftsansvariges identitet.

·Ändamålen med behandlingen.

·Mottagarna av personuppgifterna.

·Uppgifternas källa när dessa inte har samlats in direkt från personen i fråga,

·Förekomsten av automatiserat beslutsfattande.

·All ytterligare information som krävs för att säkerställa rättvis och öppen behandling 24 .

Enligt allmänna dataskyddsförordningen krävs dessutom att informationen lämnas i koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk 25 . Till exempel knapphändig och otydlig dataskyddsinformation, endast tryckt i liten stil på valmaterialet, skulle inte uppfylla kraven på öppenhet.

Enligt de preliminära resultaten var ofullständig information om de ändamål som uppgifterna samlades in för en allvarlig brist i fallet Cambridge Analytica. Detta gör också att giltigheten i berörda personers samtycke kan ifrågasättas. Alla organisationer som behandlar personuppgifter i ett valsammanhang måste se till att enskilda personer verkligen förstår hur och för vilket syfte personuppgifterna ska användas, innan de får ge sitt samtycke eller den personuppgiftsansvarige inleder behandlingen på grundval av någon annan grund för behandling.

Enskilda personer ska informeras i varje skede av behandlingen, inte bara när uppgifterna samlas in.

Detta gäller särskilt när partier behandlar uppgifter som erhållits från tredje part (t.ex. uppgifter från röstlängder, datamäklare, dataanalytiker och andra källor). För att garantera skälig uppgiftsbehandling ska partierna normalt sett underrätta berörda personer och förklara hur man kombinerar och använder dessa uppgifter 26 .

2.4Profilering, automatiserat beslutsfattande och riktade budskap på individnivå

Profilering är en form av automatiserad databehandling som används för att analysera eller förutsäga aspekter som rör exempelvis personliga preferenser, intressen, ekonomisk situation osv 27 . Profilering kan användas för riktade budskap på individnivå, exempelvis för att analysera personuppgifter (t.ex. sökhistorien på internet) så att särskilda intressen hos en specifik målgrupp eller person kan ringas in i syfte att påverka deras agerande. Riktade budskap på individnivå kan användas för att skicka ett personanpassat meddelande till en enskild person eller målgrupp via en nättjänst, t.ex. sociala medier.

I fallet Cambridge Analytica blev det tydligt vilka särskilda utmaningar som förorsakas av metoderna med riktade budskap på individnivå i sociala medier. Organisationer kan utvinna uppgifter som samlas in via användare av sociala medier för att skapa väljarprofiler. På så sättskulle dessa organisationer kunna identifiera väljare som lättare kan påverkas och därigenom få möjligheter att påverka valresultat.

Samtliga allmänna principer och bestämmelser i allmänna dataskyddsförordningen är tillämpliga på denna typ av uppgiftsbehandling, t.ex. principerna om laglighet, rättvisa och öppenhet samt ändamålsbegränsning. Enskilda personer är mycket ofta inte medvetna om att de är föremål för profilering. De inser inte varför de får vissa annonser som så tydligt är kopplade till deras senaste sökningar, eller varför de får personanpassade meddelanden från olika organisationer. Genom allmänna dataskyddsförordningen åläggs alla personuppgiftsansvariga, exempelvis partier eller dataanalytiker, att informera enskilda personer när de använder sig av sådan teknik och om vilka konsekvenser detta har 28 .

I allmänna dataskyddsförordningen medges att automatiserat beslutsfattande, bl.a. profilering, kan få allvarliga konsekvenser. I allmänna dataskyddsförordningen föreskrivs att en person har rätt att inte bli föremål för ett beslut som enbart är grundat på automatisk behandling och som får rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såvida inte denna typ av behandling utförs under strikta villkor, nämligen att de aktuella personerna har gett sitt uttryckliga samtycke, eller när det är tillåtet enligt unionsrätt eller en medlemsstats nationella rätt och lämpliga skyddsåtgärder har fastställts 29 . 

Metoder med riktade budskap på individnivå i ett valsammanhang hör till denna kategori när de i tillräckligt betydande grad påverkar enskilda personer. Europeiska dataskyddsstyrelsen menar att så är fallet när beslutet i betydande grad kan påverka de enskilda personernas omständigheter, beteende och valmöjligheter eller få långvariga eller permanenta konsekvenser för den enskilde personen 30 . Europeiska dataskyddsstyrelsen ansåg att riktad reklam på nätet i vissa fall kan påverka enskilda personer i tillräckligt betydande grad om den t.ex. är inträngande eller då kunskap används om enskilda personer sårbarheter. Med tanke på hur viktigt det är att utöva rösträtten, skulle personanpassade meddelanden, som t.ex. skulle kunna påverka enskilda personer att avstå ifrån att rösta eller att rösta på ett visst sätt, potentiellt kunna uppfylla kriteriet betydande grad av påverkan.

Personuppgiftsansvariga måste därför i ett valsammanhang se till att all behandling som utnyttjar sådana metoder är laglig i enlighet med ovan nämnda principer och de strikta villkoren i allmänna dataskyddsförordningen.

2.5Säkerhet och korrekthet avseende personuppgifter

Med tanke på datasetens omfattning och att dessa ofta innehåller ”känsliga uppgifter” är säkerheten av särskild betydelse i ett valsammanhang. Enligt allmänna dataskyddsförordningen ska verksamhetsutövare som behandlar personuppgifter (både personuppgiftsansvariga och personuppgiftsbiträden) vidta lämpliga tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till de risker som behandlingen utgör för enskilda personers rättigheter och friheter 31 .

Genom allmänna dataskyddsförordningen åläggs personuppgiftsansvariga att utan onödigt dröjsmål anmäla personuppgiftsincidenter till behörig tillsynsmyndighet, och senast inom 72 timmar. Om personuppgiftsincidenten sannolikt leder till en förhöjd risk för enskilda personers rättigheter och friheter, ska den personuppgiftsansvarige också utan onödigt dröjsmål informera de beröra personerna om personuppgiftsincidenten 32 .

Partier och andra aktörer i valprocessen måste med särskild omsorg se till att personuppgifterna är korrekta när det gäller stora dataset och när uppgifterna är sammanställda från olika heterogena källor. Inkorrekta uppgifter ska omedelbart raderas eller rättas och, när så är nödvändigt, uppdateras.

2.6Konsekvensbedömning avseende dataskydd

Genom allmänna dataskyddsförordningen införs ett nytt verktyg för riskbedömning innan behandlingen inleds: konsekvensbedömning avseende dataskydd. En konsekvensbedömning krävs om det är sannolikt att behandlingen leder till en hög risk för enskilda personers rättigheter och friheter 33 . Detta är fallet i ett valsammanhang när en personuppgiftsansvarig systematiskt och grundligt, utvärderar personliga aspekter rörande en enskild person (med bl.a. profilering), och därvid i betydande grad påverkar den enskilda personen, och när den personuppgiftsansvarige behandlar ”känsliga uppgifter” i stor skala. Nationella valmyndigheter som utför sina offentliga uppdrag behöver eventuellt inte göra någon konsekvensbedömning avseende dataskydd, om en sådan bedömning redan genomförts i samband med antagandet av lagstiftningen.

De konsekvensbedömningar som olika aktörer ska genomföra i ett valsammanhang bör inkludera de element som behövs för att handskas med risker som uppstår vid sådan uppgiftsbehandling, bl.a. att behandlingen är laglig också för dataset som erhållits från tredje part samt kraven om öppenhet.

3.Enskilda personers rättigheter

Genom allmänna dataskyddsförordningen ges människor nya och förstärkta rättigheter som är särskilt relevanta i ett valsammanhang:

·Rätten att få tillgång till sina personuppgifter.

·Rätten att begära radering av egna personuppgifter om behandlingen grundar sig på samtycke och detta samtycke har återkallats, om uppgifterna inte längre behövs eller om behandlingen är olaglig.

·Rätten att få felaktiga, inkorrekta eller ofullständiga personuppgifter rättade.

Enskilda personer har också rätt att invända mot uppgiftsbehandling (t.ex. av uppgifter som ingår i vallängder som överförs till partier) om behandlingen av deras personuppgifter grundar sig på ”berättigat intresse” eller ”allmänt intresse”.

Enskilda personer har rätt att inte bli föremål för beslut som är grundade enbart på automatisk behandling av deras personuppgifter. I sådana fall kan den enskilde begära att en fysisk person ingriper. Den enskilde har också rätt att framföra sina synpunkter och att bestrida beslutet.

För att enskilda personer ska kunna utöva dessa rättigheter måste samtliga berörda aktörer ge dem de verktyg och programinställningar som krävs. I allmänna dataskyddsförordningen föreskrivs möjligheten att utarbeta en uppförandekod som godkänts av en dataskyddsmyndighet med specificering av förordningens tillämpning på specifika områden, exempelvis i ett valsammanhang.

Genom allmänna dataskyddsförordningen ges enskilda personer rätt att inge klagomål till en tillsynsmyndighet och rätt att få sin sak rättsligt prövad. Däri ges även enskilda personer rätt att ge en icke-statlig organisation i uppdrag att inge klagomål för deras räkning 34 . Den nationella lagstiftningen i vissa medlemsstater tillåter att en icke-statlig organisation inger klagomål utan uppdrag från enskilda. Detta är särskilt relevant i ett valsammanhang eftersom så många människor kan komma att beröras.

Centrala dataskyddsfrågor som är relevanta i valprocessen 35  

Politiska partier och stiftelser

Politiska partier och stiftelser är personuppgiftsansvariga

·Respektera ändamålsbegränsningen, senare behandling endast för ändamål som är förenliga med bestämmelserna (t.ex. när uppgifter delas med plattformar).

·Välj lämplig rättslig grund för behandling (även för härledda uppgifter): samtycke, berättigat intresse, uppdrag av allmänt intresse (om detta föreskrivs i lag), särskilda villkor för ”känsliga uppgifter” (t.ex.: politisk åskådning).

·Gör en konsekvensbedömning avseende dataskydd.

·Informera enskilda om ändamålet med varje behandling (krav på öppenhet), antingen när uppgifterna samlas in direkt eller när de erhålls från tredje part.

·Säkerställ att uppgifterna är korrekta, särskilt i fråga om uppgifter från olika källor och härledda uppgifter.

·Kontrollera om uppgifter erhållna från tredje part har samlats in på lagligt sätt och för vilket ändamål (t.ex.: om de berörda personerna har gett sitt samtycke för ett visst ändamål).

·Ta hänsyn till de specifika riskerna med profilering och vidta lämpliga skyddsåtgärder.

·Se till att de särskilda kraven är uppfyllda vid användning av automatiserat beslutsfattande (t.ex. erhåll uttryckligt medgivande och genomför lämpliga skyddsåtgärder).

·Ange tydligt vem som har tillgång till uppgifterna.

·Säkerställ säkerheten vid uppgiftsbehandlingen genom tekniska och organisatoriska åtgärder. Rapportera incidenter.

·Klargör skyldigheter i avtal eller andra rättsligt bindande handlingar med personuppgiftsbiträden, som t.ex. dataanalysföretag.

·Radera uppgifterna när de inte längre är nödvändiga för det ändamål som de ursprungligen samlades in för.

Datamäklare och dataanalysföretag

Datamäklare och dataanalysföretag är antingen (gemensamma) personuppgiftsansvariga eller personuppgiftsbiträden beroende på hur stor kontroll de har över databehandlingen.

Som personuppgiftsansvarig

Som personuppgiftsbiträde

·Respektera ändamålsbegränsningen, senare behandling endast för förenliga ändamål (särskilt när uppgifter delas med tredje part).

·Välj lämplig rättslig grund för behandlingen: samtycke, berättigat intresse. Om ”känsliga uppgifter” föreligger, är behandling möjlig endast med uttryckligt samtycke eller om uppgifterna på ett tydligt sätt har offentliggjorts.

·Gör en konsekvensbedömning avseende dataskydd.

·Informera enskilda om varje behandlingsändamål (krav på öppenhet) – särskilt när samtycke ska inhämtas eftersom uppgifterna vanligtvis kommer att säljas till tredje part.

·Se till att de särskilda kraven vid användning av automatiserat beslutsfattande är uppfyllda (t.ex. erhåll uttryckligt medgivande och genomför lämpliga skyddsåtgärder).

·Ge särskilt akt på behandlingens laglighet och korrekthet när olika dataset kombineras.

·Säkerställ säkerheten vid uppgiftsbehandlingen genom tekniska och organisatoriska åtgärder. Rapportera personuppgiftsincidenter.

·Se till skyldigheterna enligt avtal eller annan rättsligt bindande handling med den personuppgiftsansvarige fullgörs.

·Säkerställ säkerheten vid uppgiftsbehandlingen genom tekniska och organisatoriska åtgärder.

·Stöd till den personuppgiftsansvarige i följande fall under konsekvensbedömningen avseende dataskydd, när registrerade utövar sin rättigheter eller när personuppgiftsincidenter som uppdagats utan dröjsmål meddelas den personuppgiftsansvarige.

Plattformar är vanligtvis personuppgiftsansvariga för uppgiftsbehandling som sker på plattformarna, och de är eventuellt gemensamma personuppgiftsansvariga med andra organisationer

Sociala medieplattformar /annonsnätverk på nätet

·Välj lämplig rättslig grund för behandlingen: Avtal med enskilda personer, samtycke, berättigat intresse. Om ”känsliga uppgifter” föreligger, är behandling möjlig endast med uttryckligt samtycke eller om uppgifterna på ett tydligt sätt har offentliggjorts.

·Använd endast uppgifter som är nödvändiga för det angivna syftet

·Gör en konsekvensbedömning avseende dataskydd.

·Säkerställ lagligheten när uppgifter om medlemmar delas med tredje part

·Se till att kraven på öppenhet är uppfyllda, särskilt avseende villkoren, i fall uppgifter sedan delas med en tredje part osv.

·Se till att de särskilda kraven vid användning av automatiserat beslutsfattande är uppfyllda (t.ex. erhåll uttryckligt medgivande och genomför lämpliga skyddsåtgärder).

·Säkerställ säkerheten vid uppgiftsbehandlingen genom tekniska och organisatoriska åtgärder. Rapportera personuppgiftsincidenter.

·Se till att enskilda personer har kontroller och inställningar så att de verkligen kan utöva sina rättigheter, bl.a. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad uppgiftsbehandling, däribland profilering.

Nationella myndigheter är personuppgiftsansvariga

Nationella valmyndigheter

·Rättslig grund för behandling: Rättslig skyldighet eller uppdrag av allmänt intresse på grundval av lagstiftning

·Gör en konsekvensbedömning avseende dataskydd om konsekvenserna inte redan bedömts i lagstiftningen

(1)

Rapporter från den brittiska dataskyddsmyndigheten (Information Commissioner’s Office – ICO), 10.7.2018: Investigation into the use of data analytics in political campaignsInvestigation update och Democracy Disrupted? Personal information and political influence.

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267 Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale offentliggjord i den italienska dataskyddsmyndighetens officiella kungörelseorgan nr 71 den 26.3.2014 [doc. web n. 3013267]; https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux  Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux ? , utgiven av Commission Nationale de l’informatique et des libertés (Frankrikes nationella kommission för informationsteknik och medborgerliga friheter) 08.11.2016 ; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf Information Commissioner’s Office ‘Guidance on political campaigning’ [20170426].

(4)

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(5)

Kommissionens vägledning om allmänna dataskyddsförordningen: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en.

(6)

Artikel 83 i allmänna dataskyddsförordningen.

(7)

Europeiska datatillsynsmannen utfärdar också yttranden.

(8)

Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(9)

Förslag till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG (förordning om integritet och elektronisk kommunikation), COM (2017) 10 final.

(10)

Artikel 85.2 i allmänna dataskyddsförordningen.

(11)

Artikel 9.1 i allmänna dataskyddsförordningen.

(12)

I senaste rättspraxis från Europeiska unionens domstol (Jehovas vittnen, mål C-25/17, dom av den 10 juli 2018) klargjordes att en organisation som utövar inflytande över insamling och behandling av personuppgifter, under vissa omständigheter kan betraktas som personuppgiftsansvarig.

(13)

Artiklarna 5 och 6 i allmänna dataskyddsförordningen.

(14)

Artiklarna 7 och 4 .11 i allmänna dataskyddsförordningen.

(15)

Detta förutsätter dock att de berörda personernas rättigheter och friheter inte allvarligt påverkas.

(16)

Se skäl 56 i allmänna dataskyddsförordningen: ”[o]m det för att det demokratiska systemet ska fungera i samband med allmänna val är nödvändigt att politiska partier i vissa medlemsstater samlar in personuppgifter om fysiska personers politiska uppfattningar, får behandling av sådana uppgifter tillåtas med hänsyn till ett allmänt intresse, på villkor att lämpliga skyddsåtgärder fastställs”.

(17)

Artikel 9 i allmänna dataskyddsförordningen.

(18)

Artikel 9.2 a i allmänna dataskyddsförordningen.

(19)

Artikel 9.2 e i allmänna dataskyddsförordningen.

(20)

Artikel 9.2 g i allmänna dataskyddsförordningen.

(21)

Artikel 9.2 d i allmänna dataskyddsförordningen. Ett parti eller en politisk stiftelse får inte till tredje part dela med sig av uppgifter om medlemmar eller tidigare medlemmar eller personer som har regelbunden kontakt med dem, utan den berörda personens samtycke.

(22)

Artikel 5.1 b i allmänna dataskyddsförordningen.

(23)

Artikel 5.1 a i allmänna dataskyddsförordningen.

(24)

Artiklarna 13 och 14 i allmänna dataskyddsförordningen.

(25)

Riktlinjer från Europeiska dataskyddsstyrelsen om öppenhet.

(26)

Artikel 14 i allmänna dataskyddsförordningen.

(27)

Enligt definition i artiklarna 4 .4 i allmänna dataskyddsförordningen.

(28)

Artikel 13.2 i allmänna dataskyddsförordningen.

(29)

Artikel 22 i allmänna dataskyddsförordningen.

(30)

Riktlinjer från Europeiska dataskyddsstyrelsen om automatiserat beslutsfattande, WP251rev.01 senast reviderade och antagna den 6.2.2018.

(31)

Artikel 32 i allmänna dataskyddsförordningen.

(32)

Artiklarna 33 och 34 i allmänna dataskyddsförordningen, och riktlinjer från Europeiska dataskyddsstyrelsen om anmälan av personuppgiftsincidenter.

(33)

Artiklarna 35 och 36 i allmänna dataskyddsförordningen, och riktlinjer från Europeiska dataskyddsstyrelsen om konsekvensbedömning avseende uppgiftsskydd.

(34)

Artikel 80.1 i allmänna dataskyddsförordningen.

(35)

Ovanstående information är på intet sätt uttömmande. Den syftar till att belysa ett antal centrala skyldigheter som i allmänna dataskyddsförordningen är kopplade till personuppgifter och som är relevanta i valprocessen. Skyldigheterna är tänkta att komma till användning när partier själva samlar in uppgifter (från offentliga källor, från sin närvaro på sociala medier, direkt från väljare m.m.) och anlitar datamäklare eller dataanalysföretag i syfte att rikta budskap till väljarna via sociala medier. Plattformar kan också vara en källa till personuppgifter för ovannämnda aktörer. Annan lagstiftning kan också vara tillämplig, t.ex. reglerna om utskick av icke begärd kommunikation och skydd av terminalutrustning i direktivet om integritet och elektronisk kommunikation.