Politiske partiers målretting av digitale budskap. Segmentering, profilering og GDPR - når er det lov?
Både Datatilsynet og Teknologirådet har i valgåret 2019 fokus på digital valgkamp.
Vebjørn Søndersrød, advokat/partner i Advokatfirmaet Ræder.
Teknologirådet mener det er behov for nye spilleregler mens Datatilsynet nylig har publisert rapporten "På parti med teknologien". (En interessant rapport som med fordel kan leses).
Gjeldende regler gjør det ikke spesielt enkelt for politiske partier å lovlig bruke sosiale medier og datadrevet markedsføring for å nå grupper av mennesker som statistisk sett er potensielle velgere. Rett nok regnes "reklame" for et politisk parti ikke som "reklame" i markedsføringslovens forstand. Partiene slipper, i motsetning til næringsdrivende, å be om mottakers tillatelse til å sende epost, sms, direktemelding på Twitter eller presentere et budskap i Facebook sin nyhetsfeed, eller på annen måte digitalt kontakte en person direkte, forutsatt at utvalget av hvilke personer som kontaktes er gjort lovlig. Det er her det blir vanskelig.
Det finnes offentlig tilgjengelig statistikk som sier mye verdifullt om for eksempel hvor ulike velgergrupper bor, hvor gamle de er, hva slags type jobb de har, hvilken utdanning de har, eller hvor mye de statistisk sett tjener. Denne typen statistikk kan knyttes til hvilket området du bor i, og ved å f.eks. legge på telefonkatalogen eller annen adresseliste, kan partiet identifisere personer som statistisk sett stemmer på partiet, eller enda bedre: som kanskje ikke stemmer på partiet men som er tilbøyelige til å gjøre det. Dette kalles også profilering.
Ytterligere bedre blir det dersom partiet bestiller "custom audience"- eller "customer match"-tjenester fra Facebook eller Google, og på denne måten kan treffe personer som likner på personer partiet vet stemmer på dem. Dette er teknisk mulig ved at Facebook og Google bruker persondata disse allerede besitter i sine enorme databaser.
Målretting av digitalt budskap krever behandling av både statistikk og personopplysninger. For det siste gjelder GDPR. Produksjon og bruk av målgrupper vil, på vilkår, være tillatt etter GDPRs bestemmelse om legitime interesser (GDPR art. 6(1)(f)). Forutsetningen er at bedriften (eller det politiske partiet) har en "legitim grunn" og at mulige personvernulemper (interessene til personene dette gjelder eller deres grunnleggende rettigheter og friheter) ikke veier tyngre, og at denne vurderingen gjennomføres og dokumenteres. Utvalg av grupper som antas å kunne stemme på partiet er gjennomgående en legitim grunn. Hvorvidt grunnen også er "god nok", kommer an på hvilke typer, og antallet, personopplysninger som brukes til å lage målgruppen, samt hvordan disse data for øvrig brukes. I tillegg har personene krav på informasjon om behandling av deres personopplysninger. De har også rett til å protestere mot å bli inkludert i en målgruppe. Ofte, men ikke alltid, må en protest tas til følge.
Høyre fikk nylig "irettesettelse" av Datatilsynet for behandling av personopplysninger for å målrette politisk budskap til enkeltpersoner tilbake i 2013 (saken er gammel, men avgjørelse ble altså tatt nå). Irettesettelsen ble ikke gitt med grunnlag i at Høyre ikke hadde lovlig adgang til å velge ut personer for målretting. Høyre får derimot kritikk for hverken å ha utført en dokumentert legitime interesser-vurdering, eller å ha informert personene om at deres opplysninger ble behandlet for målrettingsformål, og at Høyre derfor heller ikke hadde gitt personene adgang til å protestere mot dette. Datatilsynets avgjørelse inneholder for øvrig en nyttig beskrivelse av hvordan en bedrift (eller et parti) kan foreta en dokumentert legitime interesser-vurdering, slik GDPR krever.
Hvis du synes dette høres fiklete ut så skal det straks bli verre for de politiske partiene. Det er nemlig slik at å lage målgruppe for politiske budskap, der målgruppen er valgt ut basert på statistikk og antakelser om politisk ståsted, raskt også blir behandling av "spesielle kategorier", personopplysninger etter GDPR art. 9 (tidligere kalt "sensitive personopplysninger). "Politisk oppfatning" regnes som en slik spesiell kategori opplysning. Ikke bare "sikre" opplysninger, men også antakelser om en person, regnes som en personopplysning. For partiene betyr dette at målrettingen må være tillatt også etter GDPR art. 9. Denne bestemmelsen er streng, og i praksis fremstår et samtykke fra personene som den eneste reelle muligheten.
Datatilsynet har i den nevnte rapporten satt døren litt på gløtt. Tilsynet mener at bruk av svært bredt definerte segmenter, som f.eks. å kontakte alle menn mellom 20 og 40 år i en definert by fordi disse statistisk sett er mer tilbøyelige til å stemme partiet enn andre mennesker, likevel ikke regnes som behandling av opplysninger om menneskenes antatte politiske ståsted. Forutsetningen er svært grove segmenter og at det ikke egentlig gjøres en antakelse om hvilket parti hver enkelt mottaker vil eller er troendes til å stemme på. Dette gir partiene et rom for bruk av grove målgrupper på en lovlig og gjennomførbar måte. Legges flere datapunkter på, vil derimot GDPR art. 9 raskt komme til anvendelse.
Konklusjonen er etter dette at målretting av politisk budskap basert på antakelser om mottakers politiske syn, herunder statistiske antakelser, med unntak for veldig generelle målrettingskriterier, i praksis krever et samtykke fra personen før personen plasseres i en målrettingsgruppe. Det er ikke lett å se noen effektiv måte politiske partier og deres leverandører på egenhånd kan klare å innhente samtykke fra et større antall mennesker på.