Som en del af en større indsats over for virksomheder, som behandler personoplysninger i politiske kampagner, har det britiske datatilsyn (ICO) den 6. juli 2018 udstedt påbud efter de britiske persondataregler til den Canada-etablerede politiske konsulent- og teknologivirksomhed AggregateIQ Data Services Ltd (”AIQ”). Den anvendte britiske regel er en direkte implementering af GDPR art. 58, stk. 2. Påbuddet omtales i databeskyttelsesdebatter som ”det første GDPR-påbud nogensinde” og er for nylig blevet opdateret i en ny afgørelse af 24. oktober 2018.
Påbuddet er én af mange udfald af de sager, som ICO har taget op som et led i en øget indsats over for brug af personoplysninger ved politisk kampagneaktivitet. ICO påbegyndte undersøgelsesaktiviteterne i maj 2017, som har været målrettede og omfattende med over 30 organisationer involveret, bl.a. Facebook, som for nylig fik en bøde på £ 500.000.
Du kan læse Bech-Bruuns nyhed om Facebook-bøden her.
I sin
rapport til det britiske parlament redegør ICO nærmere for undersøgelsen og dens foreløbige konklusioner. ICO udtaler i forlængelse af udgivelsen af
rapporten i november 2018, at undersøgelserne forhåbentlig kan inspirere andre jurisdiktioner til handling, da udfordringen med ulovlig behandling af personoplysninger i politiske kampagner skal løses i fællesskab.
Den konkrete sag mod AIQ
Aggregate IQ (AIQ) har hovedsæde i Canada og behandler personoplysninger i samarbejde med politiske organisationer ved blandt andet at videregive oplysninger om navn og e-mailadresse til politiske organisationer, som anvender oplysningerne til at målrette politiske reklamer på sociale medier til nærmere bestemte målgrupper. AIQ behandlede oplysninger om britiske borgere på denne måde.
ICO fandt, at behandlingsaktiviteterne var i strid med de grundlæggende behandlingsprincipper i GDPR art.5 (1)(a)-(c) samt art. 6, fordi AIQ havde behandlet data på en måde, som de registrerede ikke var bekendt med eller kunne forvente og uden et gyldigt retsgrundlag for behandlingen i form af samtykke. Desuden fandt ICO, at oplysningsforpligtelsen i GDPR art. 14 var overtrådt, fordi de registrerede ikke var blevet oplyst om behandlingen.
På den baggrund udstedte ICO i juli 2018 et påbud til AIQ om at stoppe med behandlingsaktiviteterne og sidenhen – i et opdateret påbud fra oktober 2018 – at slette personoplysningerne. AIQ skal slette personoplysningerne senest 30 dage efter de canadiske databeskyttelsesmyndigheder har meddelt AIQ, at enten (i) AIQ ikke længere er under undersøgelse eller (ii) AIQ skal efterkomme ICO’s påbud.
AIQ bestred indledningsvist, at ICO havde jurisdiktion over virksomheden, da virksomheden har hovedsæde i Canada, men ICO’s jurisdiktion blev efterfølgende anerkendt.
Bech-Bruuns kommentarer
Påbuddet af 6. juli 2018 omtales i databeskyttelsesdebatter som ”det første GDPR-påbudnogensinde”.
Der er flere interessante aspekter i sagen:
Sagen illustrerer en konkret anvendelse af reglerne om ekstraterritorial jurisdiktion i forordningens artikel 3, stk. 2, litra b. Efter denne bestemmelse finder forordningen anvendelse for udenlandske dataansvarlige eller databehandlere, når de behandler personoplysninger på borgere i EU på en måde, som udgør overvågning, og når det, som overvåges, er en adfærd, som finder sted inden for EU.
Efter ICO’s opfattelse mødte AIQ’s behandling af de britiske borgeres personoplysninger kriterierne i forordningens artikel 3, stk. 2, litra b, med den konsekvens, at ICO havde jurisdiktion og kunne udstede påbuddet til AIQ.
Sagen illustrerer også, at de personoplysninger, som blev behandlet (navne og e-mailadresser) udgjorde almindelige personoplysninger, også selvom oplysningerne blev behandlet i en kontekst, som var politisk.
Det er interessant, at selvom oplysningerne blev anvendt af politiske organisationer til at kunne markedsføre sig over for de registrerede i forhold til deres politiske standpunkt, fandt ICO alligevel, at oplysningerne alene var behandlet ulovligt i forhold til forordningens artikel 6 (vedrørende behandlingsgrundlag for almindelige personoplysninger).
Det kan derfor overvejes, hvor meget der skal til, før et navn og en e-mailadresse må siges at udgøre en ”oplysning om en politisk overbevisning”. Det er således tvivlsomt, hvorvidt der er tale om oplysninger om politisk overbevisning, hvis oplysningerne behandles af politiske partier (eller deres samarbejdspartnere) til politisk markedsføring, hvor klassificeringen af, eller en vis formodning for, de registrerede politiske ståsted nødvendigvis må indgå for at tilsikre, at markedsføringen sker over for en relevant målgruppe.
Det er interessant at se, hvilken tilgang det Europæiske Databeskyttelsesråd eller tilsyn i EU-medlemslandene tager i forhold til politiske partier og deres samarbejdspartneres behandling af oplysninger i politiske kampagner.
-medium.jpg)
-medium.jpg)
