Daniel Maxstad, jurist, Front Advokater och David Schreiber, advokat, Front Advokater
Daniel Maxstad, jurist, Front Advokater och David Schreiber, advokat, Front Advokater

Samtyckte jag till att bli del av Trumps valrörelse?

Kan det vara lagligt att våra uppgifter på Facebook hamnar mitt i den amerikanska valrörelsen? Eller i någon annan valrörelse? Innan så sker bör ett uttryckligt samtycke ske mellan parterna, skriver Daniel Maxstad och David Schreiber, Front Advokater.

Det här är en debattartikel. Åsikter och idéer som framförs är skribenternas egna. Vill du svara eller har du synpunkter på debattartikeln? Mejla till: debatt@gp.se

ANNONS
|

I måndags rapporterade nyhetsbyråer världen över om att ICO, den brittiska motsvarigheten till Datainspektionen, planerar att göra en razzia mot det politiska statistikkonsultföretaget Cambridge Analytica. Företaget anlitades av Donald Trumps administration under det amerikanska presidentvalet 2016. Syftet var att, genom analys av personuppgifter, påverka opinionsbildningen bland de amerikanska väljarna.

Genom behandling av stora mängder data, så kallad big data, om människors beteenden och åsikter, kunde Trumps administration optimera sitt agerande i valrörelsen. Med denna enorma kunskapsbank är det sannolikt att Trumps valseger var resultatet av en behandling av personuppgifter i betydligt större utsträckning än vad som blev känt strax efter valsegern.

ANNONS

Kan det verkligen vara lagligt?

Nu står ICO redo att fortsätta den utredning som uppmärksammats av journalister. Kanske är det så att vi i dag, jämfört med tiden strax efter Trumps valseger, ser Trumps administrations användande av big data i ett nytt ljus i och med den stundande dataskyddsförordningen (GDPR)? Kan det vara lagligt att våra uppgifter på Facebook hamnar mitt i den amerikanska valrörelsen? Vad krävs för att Facebook och Cambridge Analytica ska få behandla uppgifter om våra personliga förhållanden på det sätt som journalister nu uppmärksammat?

Låt oss ta ett steg tillbaka. Vi betraktar vad som har hänt utifrån reglerna i GDPR. Cambridge Analytica är inte själv den part som ursprungligen samlat in personuppgifter från 50 miljoner användare. Det är Facebook som ursprungligen samlat in uppgifterna och därefter gett Cambridge Analytica tillgång till dessa som använts för kartläggning och analys. Har Facebook tillåtelse att sprida uppgifter om 50 miljoner användare vidare?

När du och jag som användare av Facebook skapar ett konto sägs att vi ”genom att klicka på Skapa konto godkänner användarvillkor och är införstådda med Facebooks datapolicy”. Genom att klicka på Skapa konto-knappen, som är kopplad till en mycket omfattande datapolicy, samtycker vi till att de personuppgifter vi själva lägger på Facebook kan komma att spridas till en mängd olika aktörer, för en mängd olika ändamål. Även till Cambridge Analytica och deras inblandning i en amerikansk valkampanj?

ANNONS

Otvetydiga samtycke

Enligt GDPR är det tillåtet att vidta en behandling av personuppgifter (att bland annat lagra, sprida, överföra eller strukturera personuppgifter) med hänvisning till någon av de sex grunderna i Artikel 6. För oss framstår det som om varken Facebook och Cambridge Analytica kan basera sina olika behandlingar av facebookanvändares personuppgifter annat än med användarnas frivilliga, specifika, informerade och otvetydiga samtycke.

Att skydda människor från att få sina personuppgifter överförda till Cambridge Analytica för statistisk kartläggning och analys väger tyngre än både Facebooks och Cambridge Analyticas intresse av att sprida uppgifterna och därefter lagra och strukturera uppgifterna för statistiska politiska ändamål. Den behandling som vidtagits av personuppgifter finner inte stöd i en intresseavvägning. Att det samtidigt rör sig om behandling av personuppgifter där syftet är att kartlägga människors personliga förhållanden och politiska åsikter gör behandlingen än mer kritisk. En sådan kartläggning är som utgångspunkt förbjuden enligt GDPR. För att sådana känsliga personuppgifter ska få behandlas krävs ett godtagbart samtycke.

Vem är personuppgiftsansvarig? Facebook är personuppgiftsansvarig för de uppgifter deras användare ger. När personuppgifter sprids till Cambridge Analytica, utan uppdrag eller uttrycklig instruktion om vad behandlingen i senare led ska innebära, blir Cambridge Analytica själv personuppgiftsansvarig för sin behandling. Cambridge Analytica har därigenom som utgångspunkt en skyldighet att, innan deras strukturering och analys inleds, själva informera berörda facebookanvändare om vilka personuppgifter som kommer behandlas, vad som kommer göras med uppgifterna och hur länge de kommer att sparas. En behandling som stödjer sig på samtycke ska samtidigt kunna återkallas.

ANNONS

Frågan är hur många av de miljontals amerikanska väljarna som inte hade valt att återkalla sitt samtycke, med den information vi har i dag om hur personuppgifterna behandlats? Det är lätt att vara efterklok. Kanske kan vi dra lärdom av det inträffade. En bra start är att se över dina sekretessinställningar. Vilken information delar du med dig av, och kanske framförallt, till vem?

Daniel Maxstad

jurist, Front Advokater

David Schreiber

advokat,

Front Advokater

ANNONS