Demokrati
Så ska politikerna undvika att bryta mot GDPR
Publicerad: 23 maj 2022, 08:19
När partierna skickar riktad reklam till väljarna, fysiskt eller digitalt, är risken störst att de bryter mot GDPR enligt Olle Pettersson, jurist på IMY. Foto: Integritetsskyddsmyndigheten, Fredrik Sandberg / TT
I valrörelsen vill partierna nå rätt väljare. Men de måste vara varsamma med personuppgifter för att inte bryta mot GDPR. Nu finns en vägledning som ska hjälpa politikerna att göra rätt.
Checklista: 12 punkter som partierna behöver följa.
Alla riksdagspartier har fått den vägledning för politiska aktörer som Integritetsskyddsmyndigheten (IMY) nyligen gett ut. Den innehåller exempel på situationer där partierna hanterar personuppgifter i sina valkampanjer. Vägledningen inleds med en checklista som partierna kan följa för att se till att valkampanjerna inte bryter mot EU:s dataskyddsförordning GDPR.
– Vi lyfter fram ett antal risker som kan uppstå om personuppgifter behandlas i sådana här sammanhang. Det kan bli otillbörlig påverkan på väljarna, hot mot den demokratiska processen eller hot mot den personliga integriteten, säger Olle Pettersson, jurist och särskild beslutsfattare på IMY.
Störst risk att bryta mot GDPR är det enligt myndigheten när partierna ägnar sig åt riktad reklam. En grundregel är att partierna måste slå fast syftet med att samla in uppgifterna. Personuppgifter får i regel inte samlas in för ett syfte och användas för ett annat.
– Det är viktigt att spelreglerna är klara för alla inblandade. Vår förhoppning är att man ska ta till sig reglerna och fundera kring de här sakerna. Så att det inte kommer som någon överraskning ifall vi i efterhand granskar hur det har gått till under valet, säger Olle Pettersson.
LÄS MER: Så gör partierna för att nå ”rätt” väljare
För en del av det politiska kampanjandet gäller inte GDPR eftersom det omfattas av undantaget för journalistiska ändamål. Det handlar bland annat om angrepp på politiska motståndare om det finns ett allmänintresse för väljarna att få ta del av dessa.
– Uttrycket ”journalistiskt ändamål” är något som ska tolkas brett. Det omfattar att sprida åsikter och information till allmänheten, vilket enligt oss även inkluderar åsiktsspridning i opinionsbildande syfte som politiska partier ägnar sig åt. Som när en politiker uttalar sig negativt om någon annan, säger Olle Pettersson.
I vilken mån partiernas behandling av personuppgifter under valrörelsen kommer att granskas beror på om IMY uppmärksammas på eventuella felaktigheter.
– Det är klagomålen från enskilda väljare som styr vad vi utreder, säger Olle Pettersson.
Hur ska partierna navigera i den här ganska snåriga juridiska djungeln?
– Vi har arbetat mycket med att göra vår vägledning så begriplig som möjligt för gemene man, med så få juridiska termer som möjligt. Om man bockar av den här listan tror jag att man landar rätt i de allra flesta fall.
LÄS MER: Forskares tips: ”Då scrollar följarna förbi dig” – kampanjmetodernas plus och minus
LÄS MER: Podd på Spotify och 10 000 dörrknackningar – så ska Växjös politiker nå väljarna
IMY:s checklista för politiska aktörer
1 Kartlägg era personuppgiftsbehandlingar.
2 Fastställ och dokumentera ändamålen med behandlingarna.
3 Bedöm utifrån ändamålen om och i vilken mån era behandlingar är undantagna från kraven i GDPR.
4 Följ de grundläggande dataskyddsprinciperna.
5 Ni är ansvariga för den behandling av personuppgifter som andra aktörer utför åt er.
6 För register över behandlingar av personuppgifter.
7 Se till att ni har lagligt stöd i någon av de rättsliga grunderna för varje behandling.
8 Kommer ni att behandla känsliga personuppgifter? Se i så fall till att ni har stöd i ett undantag från förbudet att behandla sådana.
9 Lämna klar och tydlig information till dem vars personuppgifter ni behandlar.
10 Ha bra rutiner för att hantera enskildas begäranden om att få utöva sina rättigheter – särskilt rätten till tillgång, rättelse, radering och invändning.
11 Ta ställning till om ni behöver göra en konsekvensbedömning. Den ska göras innan ni inleder en behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter
12 Överför inte personuppgifter till tredjeland om ni inte har stöd i ett giltigt överföringsverktyg i dataskyddsförordningen.
Källa: Integritetsskyddsmyndigheten