Álit á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis – Leiðbeiningar og tillögur

6.3.2020

Álit

Hinn 5. mars 2020 samþykkti Persónuvernd svohljóðandi álit í máli nr. 2020010116 (áður 2017111555):

I.

Inngangur

Álit þetta er niðurstaða Persónuverndar í frumkvæðisathugunarmáli stofnunarinnar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis í október 2016 og október 2017 til þess að afmarka markhópa og beina markaðssetningu að þeim. Fór athugunin fram í tveimur áföngum, fyrst var könnuð vinnsla persónuupplýsinga um félaga stjórnmálasamtakanna sjálfra og því næst um kjósendur almennt eftir að ákveðið hafði verið að útvíkka athugunina. Er bréfaskiptum vegna fyrri hlutans lýst í II. hluta hér á eftir og bréfaskiptum vegna hins síðari í III. hluta. Umfjöllun um Facebook-áminningarhnapp er að finna í IV. hluta. Lýsingu á niðurstöðum Persónuverndar er að finna í V. hluta. Að svo búnu eru lokaorð í VI. hluta.

1.

Markmið álitsins

Á síðustu árum hefur sú þróun orðið að stjórnmálasamtök hafa nýtt samfélagsmiðla til að beina skilaboðum til kjósenda í aðdraganda kosninga. Er þar um nýja aðferð við vinnslu persónuupplýsinga að ræða þar sem telja má mikilvægt að mótuð séu viðmið til að tryggja gagnsæi gagnvart hinum skráðu og fullnægjandi vernd upplýsinganna. Meginmarkmið álits þessa er að gefa leiðbeiningar og gera tillögur þar að lútandi með hliðsjón af því sem fyrir liggur um hvernig umrædd vinnsla hefur farið fram á vegum hérlendra stjórnmálasamtaka. Eru leiðbeiningarnar veittar í ljósi núgildandi persónuverndarlöggjafar, þ.e. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, en einnig er í álitinu að finna meginniðurstöður um hvernig slík vinnsla horfði við ákvæðum eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

II.

Fyrri hluti frumkvæðisathugunar Persónuverndar

1.

Tildrög og upphaf máls

Í lok október 2017 voru fluttar fréttir í íslenskum fjölmiðlum af því að stjórnmálasamtök sem buðu fram til alþingiskosninga þann mánuðinn hefðu auglýst framboð sín og frambjóðendur í auknum mæli á samfélagsmiðlum og að dæmi væru um að þau hefðu miðlað persónuupplýsingum til samfélagsmiðla til þess að unnt væri að beina markaðssetningu þeirra að tilteknum hópum einstaklinga.

Með vísan til þessa fréttaflutnings ákvað Persónuvernd að hefja frumkvæðisathugun á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis í október 2017. Með bréfum, dagsettum 2. nóvember 2017, var þeim tilkynnt um að Persónuvernd hefði hafið framangreinda frumkvæðisathugun. Var samtökunum boðið að tjá sig um frumkvæðisathugun­ina, auk þess sem Persónuvernd óskaði eftir upplýsingum um eftirfarandi:

1. Hvort persónuupplýsingum, á borð við netfangalista eða félagaskrár, hefði verið miðlað til samfélagsmiðla.

2. Hvort fræðsla hefði verið veitt hinum skráðu, samkvæmt 20. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og hvers efnis fræðslan hefði verið.

3. Hvernig markaðssetningin hefði samrýmst 28. gr. laga nr. 77/2000.

Síðar var ákveðið að frumkvæðisathugun þessi skyldi takmarkast við þau átta stjórnmálasamtök sem nú eiga fulltrúa á Alþingi, þ.e. Flokk fólksins, Framsóknarflokkinn, Miðflokkinn, Pírata, Samfylkinguna, Sjálfstæðisflokkinn, Viðreisn og Vinstrihreyfinguna – grænt framboð.

2.

Svarbréf stjórnmálasamtakanna

Flokkur fólksins, Miðflokkurinn, Píratar, Samfylkingin, Viðreisn og Vinstrihreyfingin – grænt framboð svöruðu öll á þá leið að flokkarnir hefðu ekki afhent samfélagsmiðlum persónuupplýsingar. Þá mátti ráða af svörum þeirra að öðru leyti að þeir teldu spurningar nr. 2 og 3 ekki eiga við um sig eða aðeins með óbeinum hætti. Að þessum svörum virtum ákvað Persónuvernd að fella málið niður gagnvart framangreindum sex stjórnmálasamtökum. Tilkynnti Persónuvernd fimm þeirra um þá ákvörðun með bréfum, dagsettum 11. maí 2018, en þeim sjöttu, Flokki fólksins, með bréfi, dagsettu 30. júlí s.á.

Svar við erindi Persónuverndar barst frá Sjálfstæðisflokknum með bréfi, dagsettu 16. nóvember 2017, og frá Framsóknarflokknum með tölvupósti 15. janúar 2018. Svör samtakanna, sem eru misítarleg, eru í meginatriðum eftirfarandi:

1. Framsóknarflokkurinn
   

Fram kemur í svörum Framsóknarflokksins að flokkurinn hafi samið við fyrirtækið Sahara ehf. um þjónustu vegna Facebook-síðu flokksins. Kynning á myndböndum sé nauðsynlegur hluti af kosningavinnu og leitast hafi verið við að hvetja flokks- og stuðningsmenn til að deila myndböndum og auka þannig útbreiðslu þeirra. Í því skyni að auka útbreiðslu tveggja myndbanda hafi rúm 520 netföng félagsmanna verið „tekin út úr félagatali“ á lokametrum baráttunnar. Netföngin hafi verið send Sahara ehf. til að tryggja sem mesta birtingu myndbandanna. Þá segir að með inngöngu í flokkinn gefi félagar upp netfang og símanúmer. Löng hefð sé fyrir því í stjórnmálastarfi.

Persónuvernd sendi flokknum bréf, dagsett 17. júlí 2018, og óskaði frekari upplýsinga. Þær spurningar sem óskað var svara við voru eftirfarandi:

1. Hvort Framsóknarflokkurinn hefði afhent Sahara ehf. aðrar persónuupplýsingar en netföng í aðdraganda alþingiskosninganna 2017.

2. Hvort Framsóknarflokkurinn hefði gert vinnslusamning við Sahara ehf. í samræmi við ákvæði 13. gr. laga nr. 77/2000, sbr. nú 25. gr. laga nr. 90/2018.

3. Hvort Sahara ehf. hefði afhent samfélagsmiðlum netföngin sem auglýsingastofan hefði fengið frá Framsóknarflokknum.

Í svarbréfi flokksins, dagsettu 16. september s.á., kemur fram að engar aðrar persónuupplýsingar hafi verið afhentar Sahara ehf. í aðdraganda kosninga til Alþingis árið 2017 en netföng úr félagatali. Samkvæmt upplýsingum frá Sahara ehf. hafi netföngunum verið flett upp í viðmóti Facebook og hafi netfangalistinn verið settur þar upp á auglýsingaaðgangi flokksins. Ekki hafi verið gerður vinnslusamningur við Sahara ehf. samkvæmt 13. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

2. Sjálfstæðisflokkurinn

Fram kemur í svörum Sjálfstæðisflokksins að flokkurinn hafi ekki miðlað persónuupplýsingum, hvorki netfangalistum, félagaskrá né öðrum persónugreinanlegum upplýsingum, til samfélagsmiðla. Hins vegar hafi flokkurinn nýtt Facebook í kosningunum í því skyni að miðla upplýsingum til félagsmanna sinna, svo sem um opnunartíma kjörstaða, stefnumál og fundi í viðkomandi sveitarfélagi þar sem félagsmönnum gæfist tækifæri til að ræða við frambjóðendur sína og spyrja þá spurninga. Ætla verði að stjórnmálaflokkum sé heimilt að hafa samskipti við skráða félagsmenn. Stjórnmálaflokkar hafi á hverjum tíma þurft að laga sig að breyttri tækni og samskiptamynstri til þess að geta gegnt lýðræðislegu hlutverki sínu gagnvart þeim. Það eigi meðal annars við um að koma skilaboðum til þeirra á vettvangi samfélagsmiðla. Flokkurinn hafi leitað leiða til að svara ákalli félagsmanna um að samfélagsmiðlar yrðu nýttir betur til samskipta, einkum Facebook. Flokkurinn hafi þó ekki viljað miðla flokksskrá sinni á persónugreinanlegu formi til slíkra miðla. Tilkynningum hafi verið miðlað til félagsmanna í gegnum Facebook en eingöngu til þeirra sem hafi samþykkt að taka við slíkum tilkynningum og auglýsingum samkvæmt skilmálum samfélagsmiðilsins.

Um tilhögun á miðlun upplýsinga um félagsmenn í Sjálfstæðisflokknum segir í bréfinu að Facebook bjóði upp á aðferð sem sé ætlað að tryggja að eingöngu sé haft samband við þá sem séu skráðir notendur samfélagsmiðilsins og hafi samþykkt notendaskilmála hans sem meðal annars feli í sér samþykki fyrir móttöku tilkynninga og auglýsinga. Við vinnsluna séu eingöngu notaðar upplýsingar um notendur sem þeir hafi sjálfir skráð um sig á Facebook. Facebook hafi því, í þessu tilviki, ekki öðlast frekari upplýsingar um einstaklinga á flokksskrá flokksins, sem notuð hafi verið til verksins.

Upplýsingar úr flokksskrá flokksins hafi verið keyrðar í gegnum svokallað hakkafall hjá flokknum sjálfum áður en upplýsingunum hafi verið miðlað. Hakkafallið, sem sé einátta dulkóðun, hafi skilað stuttum kóða fyrir hvern félagsmann og ekki falið í sér hinar upphaflegu upplýsingar. Ekki sé hægt að afkóða upplýsingarnar og séu kóðarnir því ekki persónugreinanlegir. Hver kóði hafi síðan verið borinn saman við sams konar kóða þeirra sem hafi verið notendur Facebook og hafi samþykkt skilmála samfélagsmiðilsins, t.d. um að beina mætti til þeirra tilkynningum og skilaboðum. Við þennan samanburð hafi orðið til listi hjá Facebook yfir þá skráðu notendur Facebook sem fengju viðkomandi tilkynningu frá Sjálfstæðisflokknum. Engum persónugreinanlegum upplýsingum hafi því verið miðlað frá flokknum til Facebook um viðkomandi notendur heldur aðeins staðfesting á því að eitthvað af þeim upplýsingum sem viðkomandi einstaklingar hefðu skráð um sig á Facebook væri sams konar og þær upplýsingar sem flokkurinn hafi sent í gegnum hakkafallið, t.d. nafn og póstnúmer eða netfang. Persónuvernd annarra félagsmanna hafi einnig verið tryggð þar sem framangreindar breytur um þá hafi ekki svarað til neinna notenda samfélagsmiðilsins. Er um framangreint vísað í upplýsingar á nánar tilgreindri vefsíðu Facebook. Þá segir að gætt hafi verið að því að auðkenna ekki eða gefa til kynna hvers konar skrá hefði verið keyrð í gegnum hakkafallið. Vinnslan hafi því ekki varðað viðkvæmar persónuupplýsingar heldur einungis almennar samskiptaupplýsingar, sem gerðar hafi verið ópersónugreinanlegar í samræmi við framangreint.

Sjálfstæðisflokkurinn byggir á því að flokkurinn sé ábyrgðaraðili vinnslunnar og að Facebook gegni hlutverki vinnsluaðila. Af því tilefni hafi flokkurinn gert vinnslusamning við Facebook um framangreinda vinnslu. Um skilmála samningsins er vísað á nánar tilgreinda vefsíðu Facebook. Í skilmálunum sé áréttað að það sé á forræði ábyrgðaraðila að tryggja viðeigandi heimild fyrir vinnslunni. Þá taki vinnsluaðili sér á herðar ýmsar skyldur til að tryggja frekar persónuvernd hinna skráðu, svo sem að nýta móttekinn lista með kóðum eingöngu til að ákvarða hvaða skráðir notendur miðilsins verði viðtakendur viðkomandi tilkynninga, að nýta upplýsingarnar ekki í öðrum tilgangi og að eyða þeim þegar að vinnslu lokinni. Í vinnslusamningnum sé einnig fjallað um með hvaða hætti gætt sé að öryggi upplýsinganna og tekið fram að samfélagsmiðillinn sé aðili að fyrirkomulagi til verndar persónuupplýsingum sem miðlað er frá löndum EES til Bandaríkjanna, þ.e. svonefndum öryggisskildi, EU-US Privacy Shield. Sjálfstæðisflokkurinn hafi gengið úr skugga um að skráning miðilsins um aðild að fyrirkomulaginu sé í gildi.

Einnig byggir flokkurinn á því að fyrir hafi legið ótvírætt samþykki þeirra sem gengið hafi til liðs við flokkinn fyrir því að senda mætti þeim tilkynningar og skilaboð sem beinlínis vörðuðu það starf sem félagsaðildin lyti að, svo sem tilkynningar um fundi með frambjóðendum flokksins og framkvæmd kosninga. Þá er sagt leitast við að upplýsa þá sem vilji gerast félagar í flokknum um að hann standi fyrir víðtækri upplýsingamiðlun við þing- og sveitarstjórnarkosningar um fundi með frambjóðendum og framkvæmd kosninga og bjóði kjósendum, sem þess þurfi, aðstoð við að komast á kjörstað. Þessum upplýsingum hafi ýmist verið miðlað til einstaklinga þegar þeir hafi leitað eftir því að ganga í flokkinn, sbr. 1.-3. mgr. 20. gr. laga nr. 77/2000, eða áður en að því kom að þeir óskuðu inngöngu, sbr. 4. mgr. 20. gr. sömu laga.

Um það hvernig markaðssetningin hafi samrýmst 28. gr. laga nr. 77/2000 segir í svarbréfi flokksins að vinnslan hafi ekki falið í sér markaðssetningarstarfsemi samkvæmt framangreindu ákvæði. Vísað er til athugasemda við ákvæðið í frumvarpi til laga nr. 77/2000 og reglna nr. 36/2005, um bannskrá, og byggt á því að samskipti stjórnmálaflokka við félagsmenn þeirra falli ekki undir þau hugtök sem þar komi fram. Þær upplýsingar sem flokkurinn hafi komið til félagsmanna sinna í gegnum Facebook fyrir síðustu alþingiskosningar hafi ekki verið í fjáröflunarskyni eða til þess að hvetja viðtakendur til að ganga í flokkinn. Einungis hafi verið um að ræða upplýsingar til þeirra sem þegar hafi verið félagsmenn um starfsemi sem þeir hafi þegar sóst eftir að taka þátt í. Afar brýnt sé að ekki verði mörkuð sú stefna að samskipti stjórnmálaflokka við félagsmenn sína verði lögð að jöfnu við það þegar flokkar leitist við að fá fólk til liðs við sig, þ.e. auglýsi sig fyrir því fólki sem ekki hafi ákveðið að ganga í þá. Slíkt hefði meðal annars í för með sér að þeir félagsmenn flokksins sem séu á bannskrá Þjóðskrár Íslands fengju ekki tilkynningar frá flokknum um starfsemi hans og framkvæmd kosninga. Í áliti 29. gr.-vinnuhóps ESB, nr. 1/2017, segi enn fremur að í þeim aðildarríkjum sem hafi tekið upp kerfi sem feli í sér að unnt sé að andmæla markaðssetningarsímtölum hafi reglan um fyrirliggjandi viðskiptasamband forgang yfir skráningu á bannlista. Því virðist óhætt að álykta svo að samskipti félaga, þar á meðal stjórnmálaflokka, við félagsmenn sína, meðal annars um starfsemi félaganna, verði ekki talin markaðssetningarstarfsemi sem verði bönnuð á grundvelli ákvæða um bannskrá, sbr. 2. mgr. 28. gr. laga nr. 77/2000.

Loks kemur fram að þær tilkynningar sem hafi verið sendar félagsmönnum í gegnum Facebook hafi skýrt borið með sér hvaðan þær hafi komið, í samræmi við ákvæði 4. mgr. 28. gr. laga nr. 77/2000. Að mati Sjálfstæðisflokksins eigi 5. mgr. sömu greinar ekki við þar sem flokksskrá flokksins hafi ekki verið afhent Facebook eða öðrum í markaðssetningarskyni.

III.

Síðari hluti frumkvæðisathugunar Persónuverndar

1.

Frumkvæðisathugun útvíkkuð og mál enduropnað

Með bréfum, dagsettum 4. mars 2019, tilkynnti Persónuvernd Framsóknarflokki og Sjálfstæðisflokki að frumkvæðisathugun stofnunarinnar hefði verið útvíkkuð. Með bréfum sama dag tilkynnti Persónuvernd jafnframt Flokki fólksins, Miðflokknum, Pírötum, Samfylkingunni, Viðreisn og Vinstrihreyfingunni – grænu framboði um að málið hefði verið opnað á ný gagnvart þeim. Í bréfunum eru tildrög þessa rakin. Með hliðsjón af nýjum upplýsingum sem fram hefðu komið í rannsókn bresku persónuverndarstofnunarinnar, í fjölmiðlum, á vettvangi Evrópsku persónuverndarstofnunarinnar og Evrópska persónuverndarráðsins teldi Persónuvernd tilefni til að leggja frekari spurningar fyrir þau stjórnmálasamtök sem buðu fram fyrir alþingiskosningarnar 2016 og 2017. Þær spurningar sem óskað var svara við voru eftirfarandi:

1. Hvaða persónuupplýsingar um kjósendur stjórnmálasamtökin höfðu undir höndum síðustu tvö árin fyrir alþingiskosningarnar árið 2017, þ.e. frá og með 29. október 2015 til og með 28. október 2017, hvaðan þau fengu þær og í hvaða tilgangi.

2. Hvort stjórnmálasamtökin upplýstu einstaklinga, samkvæmt lið 1, um vinnslu persónuupplýsinga um þá, hvaðan upplýsingarnar voru fengnar og í hvaða tilgangi.

3. Hvort stjórnmálasamtökin notuðu samfélagsmiðla til þess að beina skilaboðum til kjósenda, allra eða ákveðins hóps þeirra, eða til þess að ná til þeirra með öðrum hætti, síðustu tvö árin fyrir alþingiskosningarnar árið 2017 og, ef svo, þá hvernig.

4. Hvort stjórnmálasamtökin notuðu eða unnu með auglýsingastofum og/eða greiningaraðilum (e. data brokers, data analysts, ad tech companies) í því skyni að beina skilaboðum til kjósenda, allra eða ákveðins hóps þeirra, eða ná til þeirra með öðrum hætti í gegnum samfélagsmiðla síðustu tvö árin fyrir alþingiskosningarnar árið 2017.

5. Hvaða aðra þjónustu, ef einhverja, stjórnmálasamtökin keyptu af samfélagsmiðlum, auglýsingastofum og greiningaraðilum (e. data brokers, data analysts, ad tech companies) síðustu tvö árin fyrir alþingiskosningarnar árið 2017.

6. Hversu miklum fjármunum stjórnmálasamtökin vörðu í kaup á þjónustu samfélagsmiðla, auglýsingastofa og greiningaraðila (e. data brokers, data analysts, ad tech companies) á umræddu tímabili.

2.

Bréfaskipti

Svör stjórnmálasamtakanna, sem nánar verður vikið að hér á eftir, gáfu Persónuvernd tilefni til að spyrja frekari spurninga og voru þær sendar með bréfum 12. apríl 2019 til Framsóknarflokks, Sjálfstæðisflokks og Vinstrihreyfingarinnar – græns framboðs, 9. maí 2019 til Miðflokksins, Pírata, Samfylkingarinnar og Viðreisnar og til Flokks fólksins 2. desember 2019. Spurningarnar voru mismunandi eftir því hvers fyrri bréf höfðu gefið tilefni til, en vörðuðu efnislega eftirfarandi þætti:

1. Hvort netföng og símanúmer félagsmanna hefðu verið notuð til þess að beina skilaboðum eða auglýsingum til þeirra á samfélagsmiðlum á umræddu tímabili.

2. Hvaða notkun félagsmenn viðkomandi stjórnmálasamtaka hefðu samþykkt á netföngum og símanúmerum þeirra.

3. Hvaða samfélagsmiðlar hefðu verið notaðir og hvaða aðferðir eða leiðir hefðu verið notaðar til þess að miðla upplýsingum til kjósenda á samfélagsmiðlum.

4. Hvaða auglýsingastofa og/eða greiningaraðila hefði verið leitað til vegna miðlunar upplýsinga frá viðkomandi stjórnmálasamtökum á samfélagsmiðlum, hvernig þjónusta hefði verið keypt af þeim og hvort gerður hefði verið vinnslusamningur þar að lútandi, hefði tilefni verið til þess.

5. Hvort unnin hefði verið einhvers konar markhópagreining í því skyni að miðla upplýsingum til tiltekinna hópa á samfélagsmiðlum og hvað hefði falist í henni.

6. Hvort notast hefði verið við svokölluð markaðstorg upplýsinga.

7. Upplýsingar um allar breytur og/eða hópa sem skilgreindir hefðu verið og hvernig auglýsingum eða skilaboðum hefði verið beint að hverjum tilteknum hópi.

8. Hvort allt það efni sem viðkomandi stjórnmálasamtök hefðu birt eða aðrir birt fyrir þeirra hönd á samfélagsmiðlum á umræddu tímabili hefði borið með sér að hafa stafað frá þeim stjórnmálasamtökum.

Þrátt fyrir skýra beiðni Persónuverndar um nákvæma útlistun á þeim breytum og/eða hópum sem skilgreindir hefðu verið og hvernig auglýsingum eða skilaboðum hefði verið beint að hverjum tilteknum hópi, svöruðu flest stjórnmálasamtakanna enn með vísan til ákveðinna tilvika í dæmaskyni. Að því virtu sendi Persónuvernd á ný erindi, dagsett 12. júní 2019, til Framsóknarflokksins, Miðflokksins, Pírata, Samfylkingarinnar, Sjálfstæðisflokksins og Vinstrihreyfingarinnar – græns framboðs og áréttaði að stofnunin óskaði eftir tæmandi talningu á öllum þeim breytum og/eða markhópum sem skilgreindir hefðu verið og notaðir og á því hvernig auglýsingum eða skilaboðum hefði verið beint að hverjum tilteknum hópi og á hvaða samfélagsmiðli. Svör framangreindra stjórnmálasamtaka bárust Persónuvernd fyrir ágústlok 2019.

Með bréfum, dagsettum 19. desember 2019, óskaði Persónuvernd eftir upplýsingum um hvort stjórnmálasamtökin hefðu gert vinnslusamninga, í samræmi við 13. gr. þágildandi laga nr. 77/2000, við þá samfélagsmiðla sem þau hefðu notað fyrir kosningarnar 2016 og 2017. Stjórnmálasamtökin svöruðu öll neitandi og einhver þeirra vísuðu í að Facebook kæmi fram sem ábyrgðaraðili í tengslum við flestar þær þjónustur sem miðillinn byði upp á.

3.

Svarbréf stjórnmálasamtakanna

Samkvæmt þeim upplýsingum sem Persónuvernd hefur undir höndum hafa öll stjórnmálasamtökin notað persónuupplýsingar til að ná til skilgreindra hópa á samfélagsmiðlum á umræddu tímabili. Líkt og að framan greinir óskaði Persónuvernd eftir því að stjórnmálasamtökin gæfu stofnuninni tæmandi talningu á öllum breytum og/eða hópum sem skilgreindir hefðu verið og hvernig auglýsingum eða skilaboðum hefði verið beint að hverjum tilteknum hópi. Helstu atriðin í svörum stjórnmálasamtakanna, sem eru misítarleg, eru eftirfarandi:

1. Flokkur fólksins

Fram kemur í svörum Flokks fólksins að flokkurinn hafi notað Facebook til að koma skilaboðum til kjósenda og hafi verið notast við breyturnar Ísland og aldur (18-65 ára +).

Einnig kemur fram að heildarkostnaður fyrir þjónustu Facebook hafi numið 141.539 kr. á því tveggja ára tímabili sem hér um ræðir.

2. Framsóknarflokkurinn

Fram kemur í svörum Framsóknarflokksins að flokkurinn hafi notað Facebook til að senda auglýsingar til hópa skráðra notenda miðilsins. Sahara auglýsingastofa hafi haft umsjón með og stýrt aðalsíðu flokksins á Facebook og síðum kjördæmasambandanna. Umsjón með undirsíðum aðildarfélaga flokksins hafi verið í höndum einstakra flokksmanna. Notaðar hafi verið almennar leiðir sem Facebook bjóði upp á. Eftir því hvaða svörun færslur á síðum flokksins á miðlinum fengu hafi mismunandi markmið verið valin, þ.e. skilaboðunum hafi verið beint að mismunandi hópum. Áhugamál kjósenda hafi ekki verið skilgreind heldur hafi verið notast við eftirfarandi breytur: Íslendingur, staðsetning (t.d. kjördæmi og bæjarfélög), kyn og aldur (t.d. 18-30 ára, 45-65 ára +, 18-65 ára +). Þá hafi flokkurinn birt auglýsingar fyrir þeim sem höfðu sýnt markaðsefni flokksins áhuga og heimsótt síðu flokksins. Hið sama gildi um þá sem líkað höfðu við síðuna og í gögnum með svari Framsóknarflokksins sést að skilaboðum var einnig beint til vina þeirra.

Einnig kemur fram að auk þeirra 520 netfanga félagsmanna sem keyrð voru á Facebook í aðdraganda kosninganna 2017, og gerð var grein fyrir í kafla 2. í II. hluta hér að framan, hafi flokkurinn keyrt þar 2.300 netföng félagsmanna til viðbótar fyrir sömu kosningar. Skilaboð hafi síðan verið birt fyrir þeim sem voru á netfangalistanum og hópar nánar afmarkaðir eftir staðsetningu, aldri og kyni. Skilaboðin á Facebook hafi einnig farið á Instagram og hafi sama nálgun verið notuð þar.

Þá hafi samtals 18 herferðir verið farnar hjá Google fyrir kosningarnar 2017. Um hafi verið að ræða sex YouTube herferðir, níu Google display-herferðir og þrjár leitarorðaherferðir. Markhópar hafi verið flokkaðir niður eftir aldri, kyni og landsvæði. Þá hafi verið leitast við að ná til hópa fólks eftir áhugasviði, t.d. þeirra sem hafi lýst áhuga á að fylgjast með fréttasíðum, fjármálum, viðskiptasíðum og tæknimálum.

Flokkurinn hafi keypt markhópagreiningu af Zenter ehf. og könnun frá MMR þar sem unnið hafi verið með bakgrunnsbreytur svarenda. Þá hafi flokkurinn samið við auglýsingastofuna Hvíta húsið fyrir alþingiskosningarnar 2017 um ýmsa þætti, þ. á m. gerð auglýsinga, birtingar, stefnumótun, greiningar á skoðanakönnunum o.s.frv. Hvíta húsið hafi ekki komið að því að auglýsa fyrir flokkinn á samfélagsmiðlum.

Þrátt fyrir það sem að framan greinir um að Hvíta húsið hafi ekki staðið að birtingu auglýsinga á samfélagsmiðlum, er tekið fram í svörum flokksins að fyrirtækið hafi, ásamt fyrirtækinu The Engine, komið að birtingu skilaboða á YouTube.

Um kostnað segir að varið hafi verið samtals 6.496.198 kr. til kaupa á þjónustu samfélagsmiðla og kostunar á samfélagsmiðlum á umræddu tveggja ára tímabili.

3. Miðflokkurinn

Fram kemur í svörum Miðflokksins að flokkurinn hafi notað auglýsingakerfi Facebook til að birta auglýsingar á Facebook og Instagram. Innbyggðar stillingar Facebook hafi verið nýttar til að smíða markhópa. Auglýsingum hafi svo verið beint að mismunandi markhópum sem hafi verið afmarkaðir út frá upplýsingum sem einstaklingar höfðu sjálfir áður gefið upp í kerfi Facebook. Breytur sem hafi verið notaðar til að smíða þessa markhópa séu Íslendingur, kyn, aldur (t.d. 25 ára +, 45 ára +, 25-55 ára), og staðsetning (Reykjavík, Kragi, þéttbýliskjarnar á landsbyggðinni). Í sumum tilvikum hafi sérstaklega verið tiltekið að auglýsingum skyldi ekki beint að þeim sem höfðu áhuga á Independence party. Flokkurinn hafi notað fyrirtækið Innut til þess að afmarka fyrir sig markhópa í auglýsingakerfi Facebook og birtingaráætlun auglýsinga.

Tekið er fram í svörunum að flokkurinn hafi birt auglýsingar fyrir þeim sem höfðu líkað við síðu formanns flokksins á Facebook, þeim sem líktust þeim sem höfðu líkað við síðu hans, þeim sem líktust þeim sem höfðu líkað við síðu flokksins og þeim sem líktust bændum (e. lookalike audiences).

Þá hafi flokkurinn nýtt sér nafn, búsetu og afmælisdag í kjörskrá til að útbúa svokallaðan custom audience-lista á Facebook. Breyturnar sem hafi verið notaðar séu bændur (fólk með póstnúmer í dreifbýli) og fólk yngra en 25 ára.

Jafnframt hafi flokkurinn notað innbyggðar lýðfræði-, áhugasviðs- og námsstillingar Facebook til að smíða sértækan markhóp og beint eingöngu að þeim hópi skilaboðum sem tengdust breyttri staðsetningu Landspítala og áherslum sem sneru að heilbrigðisstefnu flokksins. Þær breytur sem hafi verið notaðar til að smíða þann hóp séu Íslendingur, staðsetning, aldur (18-65 ára +), áhugamál (læknisfræði). Einnig hafi starfsheiti í heilbrigðisstétt verið notuð, svo sem barna-, hjarta-, svæfingar-, tauga-, lýta- og húðsjúkdómalæknir.

Að auki segir að flokkurinn hafi birt kosningaborða og myndbönd á Google Ads, fyrir tveimur markhópum, þ.e. annars vegar karlmönnum og hins vegar konum á tilteknum aldri.

Jafnframt kemur fram að kostnaður vegna þjónustu samfélagsmiðla, greiningaraðila og auglýsingastofa hafi numið 1.320.000 kr. á umræddu tveggja ára tímabili.

4. Píratar

Fram kemur í svörum Pírata að flokkurinn hafi notað Facebook og reynt hafi verið að nálgast tiltekinn hóp einstaklinga með sniðnum auglýsingum. Flokkurinn geti einungis staðfest að notast hafi verið við tvær breytur, þ.e. fólk staðsett á Íslandi og aldur (18-35 ára og 18-65 ára +).

Flokkurinn hafi notað auglýsingastofuna Maura ehf. og ráðgjafarfyrirtækið Ofvitann ehf., sem hafi verið ráðgefandi við birtingarherferð á samfélagsmiðlum.

Hvað kostnað varðar er tekið fram að varið hafi verið 30.561.050 kr. í auglýsingar á umræddu tveggja ára tímabili, en þar undir falli einnig prentkostnaður. Nánari útskýringar á kostnaði megi sjá í ársreikningum flokksins.

5. Samfylkingin

Fram kemur í svörum Samfylkingarinnar að flokkurinn hafi notað Facebook og Instagram til að beina skilaboðum að ákveðnum markhópum.

Eftirfarandi eru dæmi um breytur sem notaðar voru til að smíða markhópa: Kyn, aldur (t.d. 20-34 ára, 25-60 ára, 40-65 ára), staðsetning (t.d. bæjarfélög og kjördæmi) og áhugamál (t.d. mannréttindi, þróunaraðstoð, ESB, UNICEF, lýðræði, dýr, stjórnmál, kosningar, jafnrétti kynjanna, almenningssamgöngur, flóttamannastofnun SÞ, Reykjavíkurborg og kaffihús). Þá birti flokkurinn auglýsingar fyrir fylgjendum flokksins á Facebook, vinum fylgjenda flokksins og vinum þeirra sem höfðu átt samskipti við síðu flokksins, með og án frekari breyta, t.d. um aldur og kyn.

Eftirfarandi eru dæmi um markhópa: (a) Karlkyn og kvenkyn, 20 ára og eldri í Reykjanesbæ og nágrenni. (b) Konur, 25-64 ára, í þéttbýli, með áhuga á mannréttindum, þróunaraðstoð, ESB, UNICEF, UN Women, lýðræði og dýrum. Þess má geta að fyrrnefndi markhópurinn er nokkuð dæmigerður en hinn síðarnefndi byggðist á ítarlegri breytum en almennt tíðkuðust.

Fram kemur að flokkurinn hafi notað fyrirtækið Webmom til að setja auglýsingar á Facebook og beina þeim til hópa sem fyrirtækið taldi eiga við byggt á reynslu sinni, þekkingu og samtölum við flokkinn. Fyrirtækið hafi þannig ekki fengið fyrirmæli um að beina skilaboðum til ákveðinna hópa eða einstaklinga á samfélagsmiðlum, heldur hafi því verið treyst til að ná til almennings.

Um kostnað segir að varið hafi verið 46.107.939 kr. til kaupa á þjónustu samfélagsmiðla, greiningaraðila og auglýsingastofa á umræddu tveggja ára tímabili.

6. Sjálfstæðisflokkurinn

Fram kemur í svörum Sjálfstæðisflokksins að flokkurinn hafi beint upplýsingum til kjósenda, eftir atvikum allra eða ákveðinna hópa, með þeim aðferðum sem samfélagsmiðlar bjóði upp á. Flokkurinn sé með Facebook-síður sem séu almennar fyrir flokkinn á landsvísu. Að auki haldi landssambönd, kjördæmisráð, fulltrúaráð, almenn sjálfstæðisfélög og aðrar flokkseiningar úti síðum á Facebook. Umsjón með þessum vefsíðum sé í höndum forsvarsmanna félaga, landssambanda og ráða, en skrifstofa flokksins sjái um Facebook-síðu hans á landsvísu.

Þegar birta skuli frétt eða auglýsingu á Facebook sé tekin ákvörðun um hvort miðla skuli efninu til ákveðinna markhópa og þá til hvaða hópa. Ekki sé unnið með aðra markhópa en þá sem Facebook bjóði upp á. Efni af vefsíðu flokksins, svo sem auglýsingar, myndbönd, myndir, greinar og grafískt efni, hafi jafnan verið deilt á síðu flokksins á Facebook og hafi flokkurinn greitt fyrir aukna dreifingu (e. boost) á efninu.

Eftirfarandi eru dæmi um breytur sem notaðar voru til að smíða markhópa: Búseta (t.d. bæjarfélög og kjördæmi), aldur (t.d. 16-35 ára, 17-26 ára, 43 ára +), kyn, fjölskyldufólk (t.d. foreldrar leikskóla- og grunnskólabarna) og áhugamál (t.d. fjármál, hagfræði, viðskipti, vísindi, menntun, nýsköpun, stjórnmál, heilbrigðismál, innanhússhönnun, húsgögn, verslun, fatnaður, tónlist, íþróttir, afþreying, líkamsrækt, vellíðan, samfélagsmál og tækni).

Þá hafi, eftir atvikum, verið lögð áhersla á tiltekna hópa, með frekari breytum, t.d. aldri og staðsetningu, eða án þeirra. Má þar sem dæmi nefna þá sem höfðu líkað við síður flokksins á Facebook og vini þeirra, þá sem svipaði til þeirra sem höfðu líkað við síður flokksins, þá sem höfðu samkvæmt skilgreiningu Facebook líkað við eitthvað tengt Facebook Messenger og þá sem áttu pólsku að móðurmáli eða höfðu búið erlendis.

Sérstaklega hafi, eftir atvikum, verið tiltekið að auglýsingum skyldi ekki beint að tilteknum hópum, með frekari breytum, t.d. aldri og staðsetningu, eða án þeirra. Má þar sem dæmi nefna þá sem samkvæmt skilgreiningu Facebook höfðu áhuga á vinstri stjórnmálum.

Eftirfarandi eru dæmi um markhópa: (a) Allir í Garðabæ, Hafnarfirði, Kópavogi, Mosfellsbæ, og Seltjarnarnesi, 18 ára og eldri. (b) Allir í Garðabæ, Hafnarfirði, Kópavogi, Mosfellsbæ og Seltjarnarnesi, 18 ára +, áhersla á þá sem höfðu áhuga á pólska hernum, pólsku, „ég elska Pólland“, Gdansk, menningu í Póllandi, Varsjá og þá sem höfðu búið í Póllandi samkvæmt skilgreiningu Facebook. Þess má geta að fyrrnefndi markhópurinn er nokkuð dæmigerður en að hinn síðarnefndi byggðist á ítarlegri breytum en almennt tíðkuðust.

Tekið er fram í svörum flokksins að hann sé með Instagram-síðu og hafi birt auglýsingar á miðlinum. Instagram sé í eigu Facebook og sé mögulegt að láta auglýsingu sem keypt er á Facebook birtast einnig á Instagram. Það hafi flokkurinn jafnan gert. Þannig hafi auglýsingum á Instagram verið beint að nákvæmlega sömu markhópum og á Facebook.

Þá kemur fram að flokkurinn hafi ekki unnið með fyrirtækjum á auglýsingamarkaði sem séu skilgreind með þeim hætti sem fram komi í spurningum Persónuverndar, þ.e. auglýsingastofum og/eða greiningaraðilum (e. data brokers, data analysts, ad tech companies). Flokkurinn hafi unnið með Jónsson & LeʼMacks sem sé hefðbundin innlend auglýsingastofa (e. branding and communicating agency). Jónsson & LeʼMacks hafi séð um að miðla auglýsingum inn á Google, með svonefndum Google display-vefborðum, fyrir báðar umræddar kosningabaráttur. Notast hafi verið við þrjá markhópa sem auglýsingastofan hafi stillt af, þ.e. karla á Íslandi, konur á Íslandi og alla 18 ára og eldri. Þá segir að auglýsingastofan hafi séð um að miðla auglýsingum inn á YouTube fyrir kosningabaráttuna 2017. Notast hafi verið við þrjá markhópa sem auglýsingastofan hafi stillt af, þ.e. karla á Íslandi, konur á Íslandi og alla 18 ára og eldri.

Um kostnað á umræddu tveggja ára tímabili er tekið fram að flokkurinn skilji spurningu Persónuverndar þar að lútandi svo að átt sé við kostnað vegna notkunar samfélagsmiðla en ekki vegna hefðbundinna sjónvarps- og blaðaauglýsinga. Þá segir að í byrjun tímabilsins, í lok ársins 2015, hafi verið keyptar auglýsingar á Facebook fyrir 190.000 kr., árið 2016 fyrir 1,8 millj. kr. og þann hluta tímabilsins sem féll innan ársins 2017 fyrir tæpar 3,4 millj. kr. Tölurnar gætu breyst óverulega þar sem ekki hafi borist svör frá einhverjum félögum og ráðum en þau séu að langstærstum hluta lítil og með hverfandi litla virkni á samfélagsmiðlum og haldi jafnvel ekki úti síðu á slíkum miðlum.

Einnig segir að á umræddu tímabili hafi verið keyptar auglýsingar á Google display-vefborðum fyrir um 270.000 kr. árið 2016 og 620.000 kr. árið 2017, auk þess sem 620.000 kr. hafi verið varið til kaupa á dreifingu myndbanda á YouTube á árinu 2017 en engu árið 2016. Þá er tekið fram að ekki hafi verið keypt nein þjónusta af greiningaraðilum en að keypt hafi verið þjónusta af auglýsingastofu sem hafi framleitt efni fyrir samfélagsmiðla fyrir um 2,2 millj. kr. árið 2016 og um 2,4 millj. kr. árið 2017.

Tekið er fram í svörum Sjálfstæðisflokksins að framangreindar tölur séu allar með virðisaukaskatti.

7. Viðreisn

Fram kemur í svörum Viðreisnar að flokkurinn hafi notað Facebook, Instagram, Google og YouTube til að koma skilaboðum áleiðis til kjósenda, bæði þeirra allra og tiltekinna hópa. Þetta hafi verið gert með auglýsingum, stöðufærslum, ljósmyndum og myndböndum.

Sem dæmi um breytur sem flokkurinn notaði til að smíða markhópa til að beina skilaboðum að kjósendum á Facebook, og þar með einnig Instagram og Messenger, má nefna eftirfarandi: Staðsetning (bæjarfélög og kjördæmi), aldur (t.d. 18-40 ára, 20-25 ára, 30-55 ára), kyn og áhugamál (svo sem Evrópusambandið, Gay Pride, dýr og rafbílar). Þá birti flokkurinn auglýsingar fyrir þeim sem höfðu líkað við síðu hans á Facebook.

Eftirfarandi eru dæmi um markhópa: (a) Konur 18-40 ára á Íslandi. (b) Staðsetning (Reykjavík, höfuðborgarsvæðið, Borgarnes, Vesturland, Selfoss, Suðurland), aldur (18-65 ára +), menntunarstig (fólk í háskóla, fólk sem hefur útskrifast úr háskóla, fólk með meistara- eða doktorsgráðu o.fl.), áhugamál (frumkvöðlastarfsemi, sprotafyrirtæki og sjálfstætt starfandi fólk), vinnuveitendur (lítið fyrirtæki, eigandi fyrirtækis og sjálfstætt starfandi) og starfsheiti (framkvæmdastjóri, formaður, verkefnastjóri, fjármálastjóri, forstjóri, stofnandi og eigandi, framkvæmdastjóri og eigandi o.fl.). Þess má geta að fyrrnefndi markhópurinn er nokkuð dæmigerður en að hinn síðarnefndi byggðist á ítarlegri breytum en almennt tíðkuðust.

Tekið er fram í svörum flokksins að vefborðar með myndum af frambjóðendum, slagorðum og/eða merki flokksins hafi verið birtir í gegnum Google Ads-kerfið, þ. á m. á YouTube og þeim miðlum öðrum sem bjóða upp á auglýsingar í gegnum það. Flokkurinn hafi notað eftirfarandi breytur: Staðsetning (Ísland), aldur (18 ára +) og tungumál (íslenska, enska og pólska).

Flokkurinn hafi notað Hugsmiðjuna til þess að sníða kynningarátak sem byggst hafi á markhópagreiningu flokksins sem unnin hafi verið á grundvelli kosningarannsóknar félagsvísindastofnunar Háskóla Íslands og skoðanakannana. Niðurstöðurnar hafi verið notaðar til að sníða auglýsingar fyrir flokkinn á stafrænum miðlum.

Um kostnað segir að varið hafi verið um 6,2 millj. kr. fyrir kaup á þjónustu samfélagsmiðla, greiningaraðila og auglýsingastofa á umræddu tveggja ára tímabili.

8. Vinstrihreyfingin - grænt framboð

Fram kemur í svörum Vinstrihreyfingarinnar – græns framboðs að flokkurinn hafi keypt auglýsingar af Facebook til þess að ná til kjósenda á umræddu tímabili. Auglýsingarnar hafi verið almenns eðlis, svo sem styrktar stöðufærslur, viðburðir og myndefni.

Þær breytur sem hafi verið notaðar til að smíða markhópa á Facebook séu: Ísland, nánari staðsetning (bæjarfélög og kjördæmi), aldur (t.d. 15-30 ára, 18-45 ára, 18-65 ára +), kyn, að um ræði foreldra, og áhugamál (svo sem umhverfismál, vinstristefna, kosningar, menntun og stjórnmál). Sérstaklega hafi verið tekið fram að auglýsingar skyldi ekki birta fyrir þeim sem höfðu líkað við síðu flokksins á Facebook. Alls hafi verið um að ræða 23 hópa sem skilgreindir hafi verið af flokknum.

Eftirfarandi eru dæmi um markhópa: (a) Allir 18-65 ára + í 25 kílómetra radíus frá Selfossi. (b) Karlkyn og kvenkyn, 18-65 ára + á landinu öllu, áhugamál (svo sem Austurland, menntun, rafeindasmásjár, vinstristefna, félagsmál, umhverfisvernd, stjórnmál). Þess má geta að fyrrnefndi markhópurinn er nokkuð dæmigerður en að hinn síðarnefndi byggðist á ítarlegri breytum en almennt tíðkuðust.

Tekið er fram að flokkurinn hafi notað MediaCom sem millilið við fjölmiðla vegna auglýsinga, m.a. á vefsíðum fjölmiðla, en að fyrirtækið hafi ekki beint auglýsingum fyrir hönd flokksins til ákveðinna hópa.

Um kostnað segir að í aðdraganda þingkosninga árið 2016 hafi skrifstofa flokksins og undirfélög samanlagt varið 10.825.441 kr. í kynningarefni og framleiðslu þess og 9.549.316 kr. árið 2017. Samanlagt hafi kostnaðurinn því verið 20.374.757 kr. Að auki segir að alls hafi flokksskrifstofa og undirfélög varið 681.397 kr. í auglýsingar á Facebook.

4.

Bréfaskipti við auglýsingastofur/greiningaraðila

Hinn 17. febrúar 2020 sendi Persónuvernd erindi til þeirra tólf auglýsingastofa og/eða greiningaraðila (e. data brokers, data analysts, ad tech companies) sem stjórnmálasamtökin kváðust hafa notað í framangreindum svörum sínum. Í bréfunum voru svör stjórnmálasamtakanna rakin og þess óskað með vísan til rannsóknarreglu stjórnsýsluréttar að hlutaðeigandi auglýsingastofur og/eða greiningaraðilar (e. data brokers, data analysts, ad tech companies) staðfestu það sem sneri að þeim eða leiðréttu eftir atvikum. Þar sem veittur var skammur svarfrestur við erindi Persónuverndar fylgdi stofnunin erindinu eftir símleiðis. Þá var erindið einnig ítrekað með tölvupósti.

Svör frá [Hugsmiðjunni, Innut, MediaCom],[1] Sahara, Hvíta húsinu, Jónsson & LeʼMacks og Webmom eru öll á þá leið að lýsing stjórnmálasamtakanna er staðfest. Sahara tekur fram í bréfi sínu að á umræddum tíma hafi reglugerð (ESB) 2016/679 ekki verið orðin virk og Facebook því ekki með neinar hömlur á að færa inn gögn, svo sem netfangalista. Í dag sé raunin önnur og þurfi að haka við viðeigandi skilmála þar sem fyrirtæki og einstaklingar staðfesti að fengið hafi verið leyfi fyrir viðkomandi lista, eins og frá viðskiptavini og fleira.

MMR tekur fram í svari sínu að auglýsingastofan Hvíta húsið hafi í október 2017 keypt sérgreiningu úr gagnagrunni fyrirtækisins. Sérgreiningin hafi falið í sér upplýsingar um stuðning almennings við stjórnmálaflokka samkvæmt viðhorfskönnun MMR. Hafi niðurstöður verið birtar í töflu eftir lýðfræðilegum bakgrunnsupplýsingum. Sérgreiningin hafi verið keypt til nota fyrir Framsóknarflokkinn.

Fram kemur af hálfu The Engine að nýir aðilar hafi tekið við fyrirtækinu um mitt ár 2018 og að það hafi ekki gögn um að það hafi unnið fyrir Framsóknarflokkinn.

Hvað Zenter varðar er m.a. tekið fram í svari fyrirtækisins að það hafi framkvæmt hefðbundna könnun fyrir Framsóknarflokkinn en ekki gert fyrir hann sérstaka markhópagreiningu. Er því haldið fram í svari Zenter að líklega liggi misskilningur í orðinu „markhópagreining“ og það sé mögulega það sem flokkurinn kalli þá hefðbundnu rannsókn sem framkvæmd hafi verið. Þá segir að niðurstöður rannsóknarinnar hafi sýnt flokknum fram á hvers konar hópa flokkurinn gæti sótt fylgi til, svo sem út frá kyni, aldri og búsetu.

Svör bárust ekki frá […] Maurum[…] og Ofvitanum.

IV.

Facebook-áminningarhnappur

Eftir að Persónuvernd barst ábending þess efnis að sumum Facebook-notendum á Íslandi hefði birst hnappur með áminningu um að kjósa í alþingiskosningunum 28. október 2017, en öðrum ekki, ákvað stofnunin að senda Facebook erindi og afla upplýsinga þar um. Með tölvupósti til Facebook á Írlandi 20. maí 2019 óskaði Persónuvernd upplýsinga um hvort Facebook hefði sjálft ákveðið að birta framangreindan áminningarhnapp og í hvaða tilgangi eða hvort einhver annar hefði óskað eftir þessari þjónustu hjá Facebook og hvernig persónuupplýsingar íslenskra Facebook-notenda hefðu verið notaðar til þess að ákveða hverjum hnappurinn birtist fyrir.

Persónuvernd barst svar frá Facebook með tölvupósti 3. júní 2019. Í svarbréfinu segir að Facebook hafi sett áminningarhnappinn efst á fréttaveitu íslenskra Facebook-notenda 28. október 2017. Tilgangurinn hafi verið að upplýsa og hvetja notendur til borgaralegrar þátttöku. Þetta sé þáttur í stuðningi við upplýst og samfélagslega ábyrgt samfélag á Facebook og hafi samskonar hnappur oft verið notaður í kringum kosningar, nú síðast fyrir kosningar til Evrópuþingsins.

Hnappurinn í umræddu tilviki hafi upplýst notendur um að það væri kosningadagur og vísað á vef Stjórnarráðsins um frekari upplýsingar. Þá var notendum boðið að deila því að þeir hefðu kosið. Samkvæmt svarbréfi Facebook var hnappurinn stilltur þannig að hann birtist öllum íslenskum Facebook-notendum sem voru komnir með kosningarrétt, þ.e. 18 ára og eldri. Upplýsingar um aldur séu fengnar frá notendum við skráningu á Facebook og upplýsingar um staðsetningu séu upplýsingar sem notendur skrái á notendasíður sínar eða upplýsingar sem fengnar séu í gegnum IP-tölur þeirra.

Um hvað hafi valdið því að aðeins sumir Facebook-notendur sem heyrðu undir framangreindan hóp sáu hnappinn en aðrir ekki segir að þar geti ýmsar ástæður legið að baki, t.d. að þeir sem ekki hafi séð hnappinn hafi notað eldri gerðir af tölvum eða símtækjum eða óuppfærðar útgáfur af smáforriti Facebook. Þá geti það hafa haft áhrif hafi nettenging verið hæg.

Utanaðkomandi aðili hafi því ekki óskað eftir hnappinum en Facebook hafi hins vegar upplýst íslenska dómsmálaráðuneytið um hann áður en hann hafi verið settur upp. Ráðuneytið hafi veitt upplýsingar um tengil á viðeigandi vefsíðu Stjórnarráðsins sem tengd hafi verið við hnappinn.[2]

Samkvæmt framangreindu fór Facebook ekki í markhópagreiningu á íslenskum kjósendum þegar miðillinn notaði hnappinn á kjördag í alþingiskosningunum 2017. Hins vegar er ljóst að með því að gera kosningahnappinn aðgengilegan íslenskum notendum Facebook gat hann haft áhrif á kosningaþátttöku á Íslandi og fylgdist jafnframt með þeim notendum hans sem deildu því að þeir hefðu kosið. Miðað við hvaða forsendur liggja fyrir er erfitt að ráða hvort og þá hvaða áhrif hnappurinn hafði á úrslit alþingiskosninganna 2017, en miðað við þá staðreynd að rúmlega níu af hverjum tíu fullorðnum einstaklingum á Íslandi nota miðilinn[2] er ekki óvarlegt að ætla að hnappurinn kunni að hafa haft áhrif.

Höfuðstöðvar Facebook innan EES eru staðsettar á Írlandi og er því írska persónuverndarstofnunin forystueftirlitsyfirvald Facebook og fellur því undir valdsvið hennar að skoða hvort starfsemi Facebook samrýmist ákvæðum reglugerðar (ESB) 2016/679, sbr. VII. kafla hennar.

Í tengslum við þingkosningar á Írlandi 8. febrúar 2020 tilkynnti írska persónuverndarstofnunin Facebook um að hnappurinn vekti upp áleitnar spurningar varðandi gagnsæi gagnvart hinum skráðu, sér í lagi þar sem notendur Facebook gætu ekki vitað hvernig persónuupplýsingum þeirra væri safnað við notkun hnappsins og þær síðan notaðar hjá miðlinum. Í framhaldinu kynnti Facebook írsku stofnuninni tillögur að úrbótum hvað þetta varðar. Þar sem ekki gafst tími til að hrinda þeim tillögum í framkvæmd fyrir kosningarnar ákvað Facebook að birta ekki hnappinn. Þá hefur Facebook staðfest í fjölmiðlum að miðillinn muni ekki birta hnappinn notendum sínum í Evrópusambandinu á meðan málið er til meðferðar hjá írsku persónuverndarstofnuninni. Persónuvernd fylgist náið með framvindu málsins hjá stofnuninni í samræmi við hlutverk sitt, sbr. VII. kafla reglugerðarinnar.

V.

Álit Persónuverndar

1.

Gildissvið persónuverndarlaga og afmörkun máls

Eins og fyrr greinir er meginmarkmið álits þessa að veita leiðbeiningar og gera tillögur um viðmið við notkun stjórnmálasamtaka á samfélagsmiðlum til að beina skilaboðum til kjósenda og vinnslu persónuupplýsinga sem því tengist. Verður höfð hliðsjón af framangreindum upplýsingum sem stofnunin aflaði um hvernig stjórnmálasamtök notuðu samfélagsmiðla í þessu skyni í tengslum við alþingiskosningar í október 2016 og október 2017. Byggjast leiðbeiningarnar og tillögurnar á núgildandi persónuverndarlöggjöf, þ.e. lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig reglugerð (ESB) 2016/679. Samkvæmt 1. mgr. 4. gr. laganna tekur gildissvið þeirra til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. einnig 1. mgr. 2. gr. reglugerðarinnar. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 2. tölul. 3. gr. laganna, sbr. 1. tölul. 4. gr. reglugerðarinnar, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna, sbr. 2. tölul. 4. gr. reglugerðarinnar. Er ljóst samkvæmt þessu að notkun upplýsinga um virkni notenda á samfélagsmiðlum felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar, sbr. 39. gr. laganna. Að því marki sem álit þetta tekur til sendingar skilaboða til markhópa með öðrum hætti en á samfélagsmiðlum skal tekið fram að hið sama á við.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Þegar stjórnmálasamtök nota samfélagsmiðla með þeim hætti sem hér hefur verið lýst, eða senda skilaboð til markhópa með öðrum hætti, teljast þau vera ábyrgðaraðilar að þeirri vinnslu sem í því felst. Tekið skal fram í þessu sambandi að samfélagsmiðlar teljast líka bera ábyrgð við umrædda vinnslu. Þá geta auglýsingastofur og greiningaraðilar borið ábyrgð við ákveðnar aðstæður. Byggist framangreint á dómi Evrópudómstólsins frá 29. júlí 2019, í máli Fashion ID, nr. C-40/17. Í dóminum kemur fram að ábyrgð hvers og eins ábyrgðaraðila einskorðast við þær vinnsluaðgerðir sem viðkomandi ákvarðar tilganginn fyrir og aðferðir. Þó skal tekið fram að atvik í máli þessu eru annars konar en í frumkvæðisathugun þessari.

Auk leiðbeininga og tillagna samkvæmt framangreindu hefur Persónuvernd tekið saman meginniðurstöður um hvernig notkun stjórnmálasamtaka á samfélagsmiðlum í aðdraganda kosninga 2016 og 2017 horfði við þágildandi lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 3. kafla hér á eftir. Skal tekið fram í því sambandi að þau lög höfðu að geyma efnislega sambærileg ákvæði og fyrr greinir um gildissvið, skilgreiningar á hugtökum og valdsvið Persónuverndar, sbr. 1., 2. og 4. tölul. 2. gr., 1. mgr. 3. gr. og 37. gr. laganna. Er ljóst að um ræddi vinnslu persónuupplýsinga samkvæmt lögunum sem stjórnmálasamtökin voru ábyrgðaraðilar að, sem og að valdsvið Persónuverndar náði til vinnslunnar.

2.

Kröfur til vinnslu persónuupplýsinga

Svo að vinnsla persónuupplýsinga sé heimil þarf hún ávallt að falla undir einhverja þeirra heimilda sem taldar eru upp í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í því sambandi skal tekið fram að líta má á notkun stjórnmálasamtaka á samfélagsmiðlum til að beina skilaboðum til kjósenda sem ákveðið form markaðssetningar, þ.e. í þeim tilgangi að hafa áhrif á skoðanir fólks þannig að líkur aukist á stuðningi þess við samtökin. Hefur verið litið svo á að vinnsla persónuupplýsinga í markaðssetningarskyni geti byggst á 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra. Þá getur vinnslan verið heimil á grundvelli 1. tölul. 9. gr. laganna um að vinna megi með persónuupplýsingar á grundvelli samþykkis hins skráða, sbr. a-lið 1. mgr. 6. gr. reglugerðarinnar. Tekið skal fram að þessar sömu tvær heimildir geta átt við um vinnslu stjórnmálasamtaka á upplýsingum um eigin félaga. Sú fyrri telst nægileg þegar um ræðir venjubundna vinnslu á upplýsingum um þá, svo sem. notkun félagatals til að beina til þeirra skilaboðum um starfsemi samtakanna. Vinnsla umfram það getur hins vegar þurft að byggjast á samþykki.

Sé unnið með viðkvæmar persónuupplýsingar nægir ekki heimild samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar, heldur þarf einnig að vera fullnægt einhverri af viðbótarkröfunum samkvæmt 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Fyrir liggur að unnið hefur verið með upplýsingar sem leiddar eru af virkni notenda á samfélagsmiðlum, svo sem um það sem þeir hafa líkað við, í því skyni að beina skilaboðum til kjósenda. Geta slíkar afleiddar persónuupplýsingar veitt vísbendingu um stjórnmálaviðhorf. Eins og fram kemur í a-lið 3. gr. laga nr. 90/2018, sbr. 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, eru upplýsingar um stjórnmálaskoðanir viðkvæmar og þarf vinnsla þeirra því að samrýmast 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Kemur þá einkum til greina 1. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinna megi með viðkvæmar persónuupplýsingar hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni, sbr. einnig a-lið 2. mgr. 9. gr. reglugerðarinnar.

Tekið skal fram, í tengslum við vinnslu stjórnmálasamtaka á upplýsingum um eigin félaga, að hún getur stuðst við 4. tölul. 1. mgr. 11. gr. laga nr. 90/2018, þess efnis meðal annars að fari vinnsla fram sem liður í lögmætri starfsemi samtaka, sem starfa ekki í hagnaðarskyni og hafa stjórnmálaleg markmið, sé vinnsla upplýsinga um meðlimi heimil, enda séu persónuupplýsingar ekki fengnar þriðja aðila í hendur án samþykkis hins skráða, sbr. einnig d-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Ljóst er að þetta ákvæði á við um venjubundna vinnslu stjórnmálasamtaka á upplýsingum um eigin félaga. Vinnsla umfram það getur hins vegar þurft að byggjast á ótvíræðu samþykki.

Auk heimildar samkvæmt framangreindu þarf vinnsla persónuupplýsinga ávallt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, þ. á m. um að þær skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða; um að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; um að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar; og um að þær skuli varðveittar á því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu. Skal ábyrgðaraðili ávallt geta sýnt fram á að farið sé að þessum kröfum, sbr. 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar.

Umræddar grunnkröfur eru útfærðar nánar í ákvæðum III. og IV. kafla nr. 90/2018, sbr. ítarlegri ákvæði í III. og IV. kafla reglugerðar (ESB) 2016/679, þar sem mælt er fyrir um margvíslegar skyldur sem ábyrgðaraðila ber að fara að. Í tengslum við ábyrgð hans á að farið sé að kröfunum má nefna ákvæði 25. gr. laganna og 28. gr. reglugerðarinnar um samninga sem honum ber að gera við vinnsluaðila, þ.e. aðila sem vinna með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laga nr. 90/2018, sbr. 8. tölul. 4. gr. reglugerðarinnar. Í tengslum við sanngirniskröfuna má auk þess nefna skyldu til að veita kost á andmælum við beinni markaðssetningu, sbr. ákvæði um bannskrá Þjóðskrár Íslands í 3. mgr. 15. gr. laga nr. 140/2019, um skráningu einstaklinga, og hinn almenna andmælarétt vegna markaðssetningar samkvæmt 2. mgr. 21. gr. reglugerðarinnar. Þá má nefna skyldur til að tryggja gagnsæi vinnslu, þ. á m. með því að veita hinum skráða fræðslu um vinnslu persónuupplýsinga. Er sú skylda til staðar bæði þegar upplýsinga er aflað frá honum sjálfum og þegar þeirra er aflað frá þriðja aðila, sbr. 2. mgr. 17. gr. laganna, sbr. 13. og 14. gr. reglugerðarinnar, en sérstaklega getur reynt á þessa skyldu í tengslum við slíka vinnslu og hér um ræðir. Frá henni eru vissar undantekningar samkvæmt ákvæðunum sjálfum, sbr. einnig 23. gr. reglugerðarinnar, sem ekki verður séð að eigi hér við.

3.

Lög nr. 77/2000 og kosningar 2016 og 2017

Eldri lög nr. 77/2000 fólu í sér sambærilegar skyldur og að framan eru raktar. Nánar tiltekið var þar fjallað um heimildir til vinnslu persónuupplýsinga í 8. gr. laganna, þ. á m. á grundvelli samþykkis, sbr. 1. tölul. 1. mgr. þeirrar greinar, sem og á grundvelli lögmætra hagsmuna sem vógu þyngra en grundvallarréttindi og frelsi hins skráða, sbr. 7. tölul. sömu málsgreinar. Að auki kom fram að upplýsingar um stjórnmálaskoðanir væru viðkvæmar, sbr. a-lið 8. tölul. 2. gr. laganna, sem og að vinnsla slíkra upplýsinga þyrfti að fullnægja einhverri af tilteknum viðbótarkröfum, en þeirra á meðal var samþykki hins skráða, sbr. 1. tölul. 1. mgr. 9. gr. laganna, sem og að vinnsla væri liður í lögmætri starfsemi samtaka sem ekki störfuðu í hagnaðarskyni, þ. á m. hugsjónasamtaka, með því skilyrði meðal annars að þeim væri ekki miðlað áfram án samþykkis hins skráða, sbr. 5. tölul. sömu málsgreinar. Þá varð ávallt að gæta að þeim grunnkröfum sem mælt var fyrir um í 1. mgr. 7. gr. laganna, en fyrrnefndar kröfur samkvæmt 8. gr. laga nr. 90/2018 voru þar á meðal. Þó má nefna að ekki var sérstaklega tekið fram að ábyrgðaraðili skyldi ávallt geta sýnt fram á að farið væri að grunnkröfunum og hefur því verið skerpt á ábyrgð hans að þessu leyti. Hins vegar var mælt fyrir um skyldu ábyrgðaraðila til að gera samninga við vinnsluaðila í 13. gr. laga nr. 77/2000. Auk þess var almennur andmælaréttur vegna beinnar markaðssetningar fólginn í kröfu 1. tölul. 1. mgr. 7. gr. laganna um sanngirni og fjallað var um bannskrá Þjóðskrár Íslands í 2. mgr. 28. gr. laganna. Þá má nefna að krafan um sanngirni var álitin fela í sér að vinnsla skyldi vera gagnsæ. Var sú krafa útfærð nánar í 20. og 21. gr. laganna þar sem fjallað var um skyldu til að veita hinum skráða fræðslu, annars vegar þegar persónuupplýsinga var aflað frá honum sjálfum og hins vegar þegar persónuupplýsinga var aflað frá þriðja aðila. Mælt var fyrir um vissar undantekningar frá fræðsluskyldunni í ákvæðunum sjálfum sem ekki verður séð að átt hafi við um umrædda vinnslu.

Í ljósi framangreinds skal bent á eftirfarandi:

1. Fyrir liggur að netföng félagsmanna í tveimur stjórnmálasamtökum, þ.e. Framsóknarflokknum og Sjálfstæðisflokknum, voru sett upp í viðmóti hjá Facebook. Í því fólst að netföngin voru tengd fyrirliggjandi upplýsingum þar og auglýsingar frá samtökunum sendar félagsmönnum á grundvelli þess. Var um að ræða netföng sem samtökin höfðu aflað frá félagsmönnum sjálfum. Þó skal tekið fram að samkvæmt upplýsingum sem fyrir liggja um tilhögun umræddrar vinnslu (e. custom audiences) hjá Facebook virðist sem upplýsingarnar séu dulkóðaðar á vafra notanda áður en þær eru sendar Facebook. Þá safnast ekki upp upplýsingar um hverjir tilheyra þeim markhópum sem um ræðir. Ekki hefur komið fram að félagsmenn hafi verið fræddir um að til þessarar vinnslu myndi koma, en samkvæmt 3. tölul. 1. mgr. 20. gr. laga nr. 77/2000 var skylt, þegar upplýsinga var aflað frá hinum skráða sjálfum, að upplýsa hann um viðtakendur eða flokka viðtakenda upplýsinga væri það nauðsynlegt til að hann gæti gætt hagsmuna sinna. Vinnslan var að líkindum ekki fyrirséð við öflun upplýsinganna hjá félagsmönnum, en einnig gat hér reynt á hina almennu gagnsæiskröfu sem talin var fólgin í 1. mgr. 7. gr. laga nr. 77/2000 eins og fyrr greinir. Er hér sérstakt álitaefni hvort farið hafi verið að þessari kröfu og teldist svo einnig vera samkvæmt núgildandi lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Í ljósi þess eru veittar leiðbeiningar um þetta atriði í kafla 4.1 í áliti þessu.
2. Í 28. gr. laga nr. 77/2000 var að finna ákvæði um markaðssetningarstarfsemi og markpóst. Af svörum allra stjórnmálasamtakanna má ráða að skilaboð hafi skýrt borið með sér hvaðan þau komu eins og áskilið var í 4. mgr. ákvæðisins. Þá virðast einhver stjórnmálasamtakanna hafa frætt félagsmenn sína við skráningu persónuupplýsinga þeirra um að þær yrðu notaðar til að senda þeim skilaboð. Hins vegar virðast engin stjórnmálasamtakanna hafa kannað hvort viðtakendur markpósts væru á bannskrá Þjóðskrár Íslands þannig að hann bærist ekki þeim sem þar væru skráðir, sbr. 2. mgr. ákvæðisins. Sérstakt álitaefni getur talist hvort þörf hafi verið á því þar sem um ræddi samskipti við eigin félagsmenn og reynir þá á hvort þau hafi mátt teljast þáttur í venjubundinni starfsemi stjórnmálasamtaka. Þá má telja ljóst að samanburður við bannskrá hefði, í ljósi aðstæðna, verið erfiðleikum háður þegar um var að ræða einstaklinga í markhópum á samfélagsmiðlum sem afmarkaðir voru með öðrum hætti en út frá félagatali, enda lá ekki fyrir listi yfir viðkomandi einstaklinga hjá viðkomandi flokki. Reynir hér sérstaklega á hvort markaðssetning á samfélagsmiðlum hafi fallið undir reglurnar um bannskrá, en ljóst er að um nýja tegund markaðssetningar var að ræða sem ekki var höfð í huga við samningu þeirra. Þá liggur fyrir niðurstaða Persónuverndar í máli nr. 2010/497 þar sem fram kemur að markpóstur í þeim tilgangi að afla fylgis við stjórnmálasamtök telst markaðssetning í skilningi laga nr. 77/2000. Veittar eru leiðbeiningar hvað þetta varðar í samræmi við núgildandi lög nr. 90/2018, sbr. reglugerð (ESB) 2016/679, í kafla 4.2.4 í áliti þessu, sem og í tillögu Persónuverndar í kafla 4.
3. Eins og að framan greinir notuðu öll stjórnmálasamtökin persónuupplýsingar til að ná til kjósenda á samfélagsmiðlum á umræddu tímabili. Öll notuðu þau Facebook til að búa til markhópa og benda gögn málsins til þess að öll hafi þau notast við svokallaða kjarnamarkhópa (e. core audiences) og sum hver einnig eigin markhópa (e. custom audiences) og/eða líkindamarkhópa (e. lookalike audiences), eins og nánar er fjallað um í kafla 4.2.2 hér á eftir. Þá notuðu flest stjórnmálasamtökin einnig aðra samfélagsmiðla, svo sem Instagram og YouTube. Af svörum samtakanna má sjá að þau gengu mislangt í því skyni að búa til markhópa. Í tilviki tveggja samtaka, Flokks fólksins og Pírata, var um að ræða upplýsingar um aldur fólks og þjóðerni, þannig að unnt væri að miðla upplýsingum til þeirra sem náð hefðu kosningaaldri, 18 árum, og þeirra sem væru Íslendingar. Hjá öðrum stjórnmálasamtökum voru hópar skilgreindir með nákvæmari hætti út frá áhugasviði þeirra á samfélagsmiðlum. Áhugasviðin voru ýmist skráð af notendum sjálfum eða ákveðin af samfélagsmiðlinum út frá hegðun notenda á miðlinum (t.d. því sem þeim líkaði við eða höfðu áhuga á). Þannig beindu sum stjórnmálasamtök sérsniðnum skilaboðum til tiltekinna hópa kjósenda sem þau virðast hafa talið ýmist líklega til að kjósa sig eða óákveðna (e. swing voters). Dæmi um þetta er þegar tiltekið er sérstaklega að ekki skuli birta skilaboð fyrir kjósendum sem aðhyllast ákveðna stefnu í stjórnmálum. Verður ekki séð að kjósendur hafi fengið nema takmarkaða fræðslu um það hvernig staðið væri að þessari vinnslu. Reyndi samkvæmt því sérstaklega á ákvæði laga nr. 77/2000 um gagnsæi og fræðslu í þessum efnum og myndi að sama skapi reyna á skilyrði þar að lútandi í núgildandi lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Leiðbeiningar um fræðslu og gagnsæi hvað þetta varðar er að finna í kafla 4.2.3 í áliti þessu. Þá er í kafla 4.3 að finna tillögur Persónuverndar í þessu sambandi. 
4. Eins og fyrr er lýst unnu flest stjórnmálasamtökin með auglýsingastofum og/eða greiningaraðilum, svo sem með því að kaupa af þeim einhvers konar markhópagreiningu og/eða fela þeim að beina markaðssetningu að ótilgreindum hópum sem ákveðnir voru af hlutaðeigandi fyrirtæki. Eini vinnslusamningurinn sem liggur fyrir er samningur Sjálfstæðisflokksins við Facebook um það þegar flokkurinn notaði netföng félagsmanna sinna til að senda skilaboð til þeirra á miðlinum. Til þess er hins vegar jafnframt að líta að hvað réttarsamband stjórnmálasamtaka og samfélagsmiðla snerti reyndi á sérsjónarmið um sameiginlega ábyrgð. Átti það jafnframt við þegar auglýsingastofur og greiningaraðilar tóku sjálfstæðar ákvarðanir varðandi vinnslu. Má því telja ljóst að ekki hafi þurft að gera vinnslusamning í öllum þeim tilvikum sem leitað var til utanaðkomandi aðila. Þá má telja ljóst að við beitingu núgildandi laga nr. 90/2018, og reglugerðar (ESB) 2016/679, yrði að leysa úr sömu álitaefnum í tengslum við vinnslusamninga og á reyndi í gildistíð eldri laga nr. 77/2000. Eru leiðbeiningar í þeim efnum veittar í kafla 4.2.5 í áliti þessu.

4.

Horft til framtíðar – lög nr. 90/2018 og reglugerð (ESB) 2016/679

Í ljósi þeirra ríku lýðræðishagsmuna sem bundnir eru kosningum er mikilvægt að skýrt verklag mótist við notkun stjórnmálasamtaka á samfélagsmiðlum til að koma skilaboðum á framfæri við kjósendur. Ljóst er að sú vinnsla persónuupplýsinga sem á sér stað á slíkum miðlum er í mótun og að ekki er unnt að sjá allt fyrir í þeim efnum. Aftur á móti telur Persónuvernd þörf á að koma á framfæri leiðbeiningum og tillögum í ljósi þeirrar reynslu sem nú liggur fyrir. Verður sjónum þá annars vegar beint að notkun stjórnmálasamtaka á félagatölum, netföngum og símanúmerum, en umfjöllun þar að lútandi er að finna í kafla 4.1 hér á eftir. Hins vegar verður sjónum beint að afmörkun markhópa almennt, en um álitaefni í því sambandi er fjallað í kafla 4.2. Að svo búnu verða dregnar saman sex megintillögur í kafla 4.3.

4.1.

Notkun félagatala, netfanga og símanúmera

Almennt verður talið að slík tengsl séu á milli stjórnmálasamtaka og skráðra félagsmanna þeirra að stjórnmálasamtök hafi lögmæta hagsmuni af því að nota persónuupplýsingar um skráða félagsmenn til þess að beina til þeirra skilaboðum fyrir kosningar. Þá verður ekki talið að vegið sé um of að grundvallarréttindum og frelsi viðkomandi félagsmanna að því virtu að þeir sjálfir afhendi umræddar upplýsingar í þessum skýrt skilgreinda tilgangi og á grundvelli fullnægjandi fræðslu af hendi þeirra stjórnmálasamtaka sem um ræðir. Sú vinnsluaðgerð stjórnmálasamtaka að afhenda samfélagsmiðli viðkvæmar persónuupplýsingar um félagsmenn þarf að byggjast á samþykki hinna skráðu í samræmi við 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 9. gr. reglugerðarinnar.

Í 1. mgr. 13. gr reglugerðar (ESB) 2016/679 eru lagðar ríkar skyldur á ábyrgðaraðila þegar persónuupplýsinga er aflað hjá skráðum einstaklingi, þ. á m. til að upplýsa hann um heiti og samskiptaupplýsingar ábyrgðaraðila; um samskiptaupplýsingar persónuverndarfulltrúa, ef við á; um tilganginn með fyrirhugaðri vinnslu persónuupplýsinga og um hver lagagrundvöllur hennar sé; um hvaða lögmætu hagsmunir það séu sem ábyrgðaraðili eða þriðji aðili gætir sé vinnslan nauðsynleg vegna þeirra nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjist verndar, vegi þyngra; og um viðtakendur eða flokka viðtakenda, ef einhverjir eru.

Þá skal ábyrgðaraðili samkvæmt 2. mgr. 13. gr. reglugerðarinnar, á þeim tíma þegar persónuupplýsingum er safnað, veita hinum skráða frekari upplýsingar til að tryggja sanngjarna og gagnsæja vinnslu, þ. á m. um hversu lengi persónuupplýsingar verða geymdar eða, sé það ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það; um að fyrir hendi sé réttur til að fara fram á það við ábyrgðaraðila að fá aðgang að persónuupplýsingum, láta leiðrétta þær, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu, auk réttarins til að flytja eigin gögn; um að fyrir hendi sé réttur til að draga samþykki sitt til baka hvenær sem er án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni; og um réttinn til að leggja fram kvörtun hjá eftirlitsstofnun á sviði persónuverndar.

Með hliðsjón af framangreindu þurfa stjórnmálasamtök að hafa eftirfarandi í huga:

1. Liggja þarf skýrt fyrir við skráningu persónuupplýsinga félagsmanna, svo sem netfanga, hver tilgangur skráningarinnar er. Einnig þarf að upplýsa félagsmenn um það við skráningu hvernig upplýsingarnar verði notaðar, til dæmis hvort netföng verði eingöngu notuð til að senda viðkomandi tölvupóst eða hvort þau verði einnig notuð til að ná til viðkomandi með öðrum hætti eins og í gegnum samfélagsmiðla. Gildir þá einu hvort upplýsingarnar eru dulkóðaðar eða ekki. Skal tekið fram í því sambandi að þegar upplýsingar um til dæmis netföng eru notaðar til að senda einstaklingum skilaboð á samfélagsmiðlum berast upplýsingarnar tilteknum, nafngreindum einstaklingum. Er því ljóst að um vinnslu persónuupplýsinga er að ræða.

2. Einnig verður að liggja skýrt fyrir, til þess að fræðsla teljist fullnægjandi og samþykki nægjanlega upplýst, hver eða hverjir megi nota persónuupplýsingarnar til þess að beina skilaboðum til viðkomandi félagsmanns, til dæmis hvort það sé aðeins tiltekið hverfisfélag eða heildarsamtök stjórnmálasamtaka.

3. Halda ber utan um samþykki félagsmanna og upplýsingar um hvaða fræðslu þeir fengu í aðdraganda þess, í samræmi við ábyrgðarskyldu ábyrgðaraðila í 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679.

4. Ávallt verður að gæta að meginreglum persónuverndarlaga og veita fullnægjandi fræðslu um hvernig ráðgert er að nota persónuupplýsingar félagsmanna og hverjum þeim verði deilt með. Þá þarf jafnframt að gæta að því að upplýsingarnar verði aðeins notaðar í samræmi við réttmætar væntingar félagsmanna. Ef fyrirhugað er að vinna persónuupplýsingar í öðrum og ósamrýmanlegum tilgangi, eftir að fræðsla var veitt samkvæmt upphaflegu samþykki, þarf heimild fyrir þeirri vinnslu samkvæmt lögunum og bæta þarf úr fræðslu, t.d. með því að senda tölvupóst á viðkomandi.

5. Einnig verður ávallt, þegar um ræðir vinnslu sem fellur utan ramma venjubundinnar starfsemi stjórnmálasamtaka, að veita félagsmönnum, með skýrum og einföldum hætti, raunverulegan kost á því að andmæla henni. Jafnframt þarf að gæta að því að öll skilaboð sem félagsmönnum eru send á grundvelli veittra upplýsinga, hvort sem er með tölvupósti, í gegnum samfélagsmiðla, svo sem Facebook, eða með öðrum hætti, tilgreini skýrt hvaðan þau koma og gefi kost á einfaldri leið fyrir félagsmenn til þess að andmæla vinnslunni. Getur Persónuvernd veitt leiðbeiningar um álitaefni í þessum efnum ef á reynir.

6. Ákveði stjórnmálasamtök að semja við vinnsluaðila, t.d. auglýsingastofur, um vinnslu persónuupplýsinga um félagsmenn sína ber þeim að sannreyna að viðkomandi vinnsluaðili geti veitt nægilegar tryggingar fyrir því að hann geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og að réttindi skráðra einstaklinga séu tryggð. Vinnsla af hálfu vinnsluaðila skal byggjast á samningi sem uppfyllir kröfur 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar.

4.2.

Notkun persónuupplýsinga til að ná til skilgreindra hópa á samfélagsmiðlum

Almennt má ætla að stjórnmálasamtök hafi lögmæta hagsmuni af því að beina auglýsingum og skilaboðum til kjósenda á samfélagsmiðlum fyrir kosningar. Við mat á því hvort vegið sé um of að grundvallarréttindum og frelsi kjósenda verður að líta til meginreglna persónuverndarlaga og til þeirrar fræðslu sem veitt er. Kjósendur verða að fá skýra og aðgengilega fræðslu um að unnið sé með persónuupplýsingar þeirra í þessum tilgangi, þ. á m. um þær breytur sem notast er við. Ef ekki er gætt að þessu með fullnægjandi hætti er vegið að þeim grundvallarréttindum kjósenda að unnið sé með persónuupplýsingar þeirra í samræmi við persónuverndarlög.

Þegar um er að ræða breytu um að viðkomandi aðhyllist ákveðna stjórnmálaskoðun, t.d. vegna þess að hann hefur líkað við vefsíðu tiltekinna stjórnmálasamtaka, verður að ætla að unnið sé með viðkvæmar persónuupplýsingar hans. Viðkomandi þarf þá að hafa gefið afdráttarlaust samþykki sitt fyrir vinnslunni. Með hliðsjón af þeirri staðreynd að rúmlega níu af hverjum tíu fullorðnum einstaklingum á Íslandi nota Facebook og að öll stjórnmálasamtökin notuðu þann miðil er lögð áhersla á að skoða hvernig þessu er háttað á Facebook.

4.2.1.

Skilmálar Facebook

Við skráningu á Facebook 19. febrúar 2020 þurfti notandi að gefa upp nafn, eftirnafn, símanúmer eða netfang, fæðingardag sinn og fæðingarár, kyn og loks að búa til aðgangsorð fyrir aðgang sinn. Eftir að búið var að fylla út þessar persónuupplýsingar var notanda boðið að ýta á hnappinn „skráðu þig“. Fyrir ofan hnappinn kemur fram að við það að ýta á hann sé notandi að samþykkja skilmála miðilsins en hægt var að ýta á hlekk sem vísaði notandanum á skilmálana. Þá var notanda boðið að kynna sér hvernig Facebook safnar, notar og deilir persónuupplýsingum notandans með því að ýta á hlekk sem vísar á gagnastefnu Facebook.

Í gagnastefnunni er að finna upptalningu á þeim heimildum sem Facebook byggir á fyrir vinnslu persónuupplýsinga. Þar kemur fram að Facebook byggir m.a. á samþykki notanda sem hann geti afturkallað hvenær sem er. Þá er notanda boðið að ýta á hlekk á ný sem vísar á síðu þar sem kemur fram að samþykki notanda nái til vinnslu viðkvæmra persónuupplýsinga, svo sem pólitískra skoðana, sem notandi lýsir yfir áhuga á á miðlinum, ef notandi deilir þeim upplýsingum á vegg sínum eða í lífsviðburði.

Er hér sérstakt álitaefni hvort samþykkið eins og það er sett fram af hálfu Facebook samrýmist ákvæðum reglugerðar (ESB) 2016/679. Í því sambandi bendir Persónuvernd á að írska persónuverndarstofnunin er með til meðferðar tvær kvartanir sem lúta að lögmæti vinnslu persónuupplýsinga í tengslum við skilmála og gagnastefnu Facebook. Annars vegar er til skoðunar hvort sá lagagrundvöllur, sem Facebook byggir vinnslu persónuupplýsinga notenda miðilsins á, uppfylli skilyrði reglugerðarinnar. Hins vegar er til skoðunar lögmæti vinnslu persónuupplýsinga þegar þær eru ráðnar af virkni og hegðun notenda á miðlinum og þannig reynt að ná til notenda með sérsniðnum auglýsingum. Þar sem írska persónuverndarstofnunin er forystueftirlitsyfirvald varðandi starfsemi Facebook heyrir það undir hana að leysa úr álitaefnum sem þetta varða.

Fram kemur í svörum sumra stjórnmálasamtakanna að skilaboðin sem birtust á Facebook hafi einnig birst fyrir þeim notendum Facebook sem notuðu Instagram. Í því sambandi skal tekið fram að samkvæmt skilmálum Facebook, sem og gagnastefnu, gilda þeir einnig um Instagram.

4.2.2.

Gerð persónusniðs – Örnálgun (e. microtargeting)

Samkvæmt 10. tölul. 3. gr. laga nr. 90/2018 nær gerð persónusniðs (e. profiling) til hvers kyns sjálfvirkrar vinnslu persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika, sbr. einnig 4. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Í skýringum við þetta ákvæði í frumvarpi sem varð að lögum nr. 90/2018 segir að hér geti t.d. verið unnið með rafræn spor, svo sem persónuupplýsingar sem safnað er reglulega á Netinu. Þá geti persónusnið orðið til úr ýmiss konar upplýsingum sem koma fram á samfélagsmiðlum á borð við Facebook, svo sem um aldur, búsetu, áhugamál, menntun og tómstundir. Megi hugsa sér notkun persónusniða við söfnun meðlima í ýmiss konar samtök og fyrir pólitíska áróðurs- og áhrifastarfsemi. Persónusnið séu einkum notuð við greiningu í markhópa. Með hliðsjón af þessu má ætla að vinnsla persónuupplýsinga á samfélagsmiðlum, eins og sú sem fram fór á vegum stjórnmálasamtaka í aðdraganda kosninga 2016 og 2017, feli í sér gerð persónusniða.

Í þessu sambandi hefur verið rætt um það sem nefna mætti örnálgun (e. microtargeting). Er þar átt við tækni sem styðst við ákveðna greiningu á gögnum í þeim tilgangi að finna áhugamál eða hagsmuni einstaklinga og í kjölfarið skapa sérsniðin skilaboð sem er beint að tilteknum einstaklingum. Tæknin felur einnig í sér að unnt er að spá fyrir um áhrif hinna sérsniðnu skilaboða sem hinum tilteknu einstaklingum eru færð milliliðalaust. Persónuupplýsingar eru greindar til að búa til persónusnið í þeim tilgangi að flokka fólk eftir áhugamálum þess og eiginleikum. Tölfræðileg tækni er síðan notuð til að búa til greinanlegar upplýsingar og spá fyrir um framtíðarhegðun.

Ekki liggur fyrir að í raun hafi stjórnmálasamtökin, í tengslum við kosningarnar 2016 og 2017, búið til skilaboð sem sérsniðin voru að tilteknum einstaklingum út frá persónusniðum. Hins vegar liggur fyrir að búið var til auglýsingaefni sem ákveðnir hópar voru taldir móttækilegir fyrir og að leitað var til samfélagsmiðla, einkum Facebook, til þess að finna einstaklinga sem í ljósi persónusniða voru taldir tilheyra þessum hópum. Nánar tiltekið voru þá notaðar breytur sem samfélagsmiðlar höfðu búið til á grundvelli nethegðunar fólks og sem til dæmis voru álitnar benda til þess að það hefði tiltekin áhugamál.

Fyrir liggur að sumar af þessum breytum fólu í sér nokkuð nærgöngula rýni. Þá má gera ráð fyrir því að með aukinni tækniþróun verði einfaldara að afmarka hópa út frá enn ítarlegri breytum sem byggjast á persónusniðum.

Til skýringar skal lýst leiðum sem Facebook býður upp á í þessu sambandi, en þær eru sem hér greinir:

1. Kjarnamarkhópar (e. core audiences)

Þessi aðferð gerir auglýsanda kleift að handvelja tiltekinn markhóp fyrir tiltekna auglýsingu eða auglýsingaherferð á grundvelli margvíslegra einkenna, þ. á m. aldurs, kyns, staðsetningar, áhugamála og hegðunar.

2. Eigin markhópar (e. custom audiences)

Í þessari aðferð felst að auglýsandinn býr til snið á Facebook yfir þá einstaklinga sem hann á þegar upplýsingar um. Notuð eru gögn frá auglýsandanum og þau tengd upplýsingum á Facebook. Algengasta aðferðin er að hlaða upp lista af netföngum, en einnig er hægt að hlaða upp símanúmerum. Af upplýsingum á vef Facebook verður ráðið að gögnin séu dulkóðuð á vafra auglýsandans og að Facebook sjái því aldrei þessar upplýsingar. Auk þess sé öllum gögnunum eytt.

3. Líkindamarkhópar (e. lookalike audiences)

Í þessari aðferð felst að auglýsandinn býr til snið um svipuð áhugamál og þeir sem eru innan hans eigin markhóps hafa. Líkur hópur er þá búinn til á grundvelli eigin markhópsins og einkenni einstaklinga í honum (staðsetning, aldur, kyn, áhugamál o.fl.) eru valin af auglýsandanum til að búa til stærri hóp einstaklinga sem deila sömu einkennum en eru ekki tengdir auglýsandanum á Facebook.

4.2.3.

Fræðsla og gagnsæi

Þegar söfnun persónuupplýsinga fer fram á samfélagsmiðli er ljóst að notendurnir veita miðlinum þær að miklu leyti sjálfir, svo sem með því að gefa upp aldur, búsetu, menntun og áhugamál, en einnig eru þær byggðar á virkni notandans á miðlinum, svo sem því sem hann líkar við, deilir eða hefur áhuga á. Þá er þeirra aflað með því að samfélagsmiðill tengir persónuupplýsingar sem notandi greinir sjálfur frá við virkni hans á miðlinum til að fella hann í tiltekinn markhóp, t.d. hóp sem hefur áhuga á tiltekinni tegund stjórnmála. Við þessa nýju aðferð við vinnslu persónuupplýsinga verður að líta til hinnar almennu gagnsæisreglu sem felur í sér ríka fræðsluskyldu ábyrgðaraðila til hins skráða til að gera honum kleift að gæta réttar síns og standa vörð um eigin hagsmuni. Ef notendur samfélagsmiðla fá ekki fullnægjandi fræðslu og skilja þar af leiðandi ekki hvernig og af hverju stjórnmálasamtök kunna að vilja nálgast þá á samfélagsmiðlum geta þeir ekki nýtt réttindi sín, t.d. réttinn til að andmæla vinnslu persónuupplýsinga sinna.

Hvað varðar öflun persónuupplýsinga frá hinum skráða sjálfum er hin almenna gagnsæisregla útfærð nánar í 13. gr. reglugerðar (ESB) 2016/679, en þegar hefur verið fjallað um það ákvæði í tengslum við það þegar stjórnmálasamtök safna upplýsingum frá félagsmönnum sínum. Einnig er ljóst að á það ákvæði reynir þegar einstaklingar veita samfélagsmiðli upplýsingar um sig. Þegar stjórnmálasamtök ákveða að nýta breytur byggðar á slíkum upplýsingum til að senda einstaklingum skilaboð á samfélagsmiðlum reynir á hvort til staðar sé sameiginleg ábyrgð þeirra og samfélagsmiðlanna á því að fullnægjandi fræðsla hafi verið veitt þegar upplýsingarnar voru afhentar á miðlinum. Úr því hefur hins vegar ekki verið endanlega skorið og kann að reyna á það á samevrópskum vettvangi.

Tekið skal fram að óháð úrlausn um framangreint verða stjórnmálasamtök að huga að því hvernig fræðsla er veitt á samfélagsmiðli sem þau nýta sér til að ná til kjósenda. Stjórnmálasamtök verða að hafa í huga að eftir því sem breyturnar verða ítarlegri, og sér í lagi þegar þær byggjast á virkni notenda á miðlinum, sem og virkni vina þeirra og þeirra sem líkjast þeim, aukast kröfurnar um fræðsluskyldu. Nægir því ekki að notendur samfélagsmiðla fái fræðslu um hvaða persónuupplýsingar þeirra sé unnið með, heldur einnig hvernig þær hafa verið fengnar, svo sem vegna þess að notandinn lýsti yfir áhuga á tilteknum viðburði. Þá verður að fræða notendur um hvernig persónuupplýsingar eru notaðar og í hvaða tilgangi.

Ljóst er að fræðsla um vinnslu persónuupplýsinga á samfélagsmiðlum er samkvæmt fyrirkomulagi sem Facebook og eftir atvikum aðrir samfélagsmiðlar ákveða. Stjórnmálasamtök geta ekki gengið út frá því sem vísu að sú fræðsla samfélagsmiðlanna sé í samræmi við lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Í skilmálum Facebook er tekið fram að með því að nota miðilinn samþykki notandi að birta megi honum kostaðar auglýsingar sem taldar eru höfða til hans. Facebook noti persónuupplýsingar notanda, svo sem áhugamál, til að ákveða hvaða auglýsingar eigi að sýna honum. Í skilmálum Facebook, sem og gagnastefnu, er hægt að ýta á hlekk sem vísar notandanum á frekari fræðslu og er þar fjallað um frekari breytur sem ráða því hvernig auglýsingum er almennt beint að notendum, svo sem breytur byggðar á virkni notenda á Facebook, en þar má nefna síður sem notendur og vinir þeirra hafa líkað við. Einnig er í gagnastefnu hægt að ýta á hlekk sem vísar notandanum á sams konar umfjöllun um þær breytur sem ráða því hvaða auglýsingar hann sér. Loks getur notandi þegar hann sér auglýsingu á fréttaveitu Facebook ýtt á þrjá litla punkta í hægra horni auglýsingarinnar. Við það birtist valmöguleikinn „Af hverju sé ég þetta?“ Kemur þá viðeigandi skýring, svo sem sú að auglýsandinn sé að reyna að ná til notenda sem Facebook telji að hafi áhuga á því sem sé auglýst.

Líkt og að framan greinir eru skilmálar Facebook til skoðunar hjá írsku persónuverndarstofnuninni.

4.2.4.

Andmælaréttur

Auk reglna um fræðslu og hinnar almennu gagnsæisreglu verður að fara að 2. mgr. 21. gr. reglugerðar (ESB) 2016/679, þess efnis að þegar persónuupplýsingar eru unnar í þágu beinnar markaðssetningar skuli hinn skráði hvenær sem er eiga rétt á að andmæla vinnslu persónuupplýsinga sem varða hann sjálfan vegna slíkrar markaðssetningar, þ.m.t. við gerð persónusniðs að því marki sem það tengist henni. Samkvæmt 3. mgr. sömu greinar skal, ef hinn skráði andmælir vinnslu í þágu beinnar markaðssetningar, ekki vinna persónuupplýsingarnar frekar í slíkum tilgangi.

Í þessu sambandi skal tekið fram að samkvæmt 3. mgr. 15. gr. laga nr. 140/2019, um skráningu einstaklinga, er óheimilt að beina beinni markaðssetningu að þeim sem skráðir eru á bannskrá Þjóðskrár Íslands. Um er að ræða reglu sem er óbreytt frá eldri lögum, nr. 77/2000, sbr. 2. mgr. 28. gr. þeirra laga. Við setningu hennar voru samfélagsmiðlar ekki hafðir í huga enda ekki komnir til sögunnar. Þá ber að telja ljóst að örðugt gæti reynst að notast við bannskrá við markaðssetningu á slíkum miðlum og að eðlilegt geti því verið að skýra umrætt ákvæði svo að sú nýja tegund markaðssetningar, sem felur í sér sendingu skilaboða á samfélagsmiðlum, falli ekki þar undir. Að auki telur Persónuvernd að þegar fyrir liggur hjá auglýsanda hvaða tilteknu einstaklingar fá skilaboð, t.d. á grundvelli netfanga sem tengd eru við persónuauðkenni, ætti að byggja á samþykki þeirra fremur en samanburði við bannskrá. Jafnframt er minnt á mikilvægi hins almenna andmælaréttar við beinni markaðssetningu samkvæmt fyrrnefndu ákvæði reglugerðar (ESB) 2016/679. Um það vísast til 3. tölul. í kafla 4.3 hér á eftir.

4.2.5.

Vinnslusamningar – Ábyrgð auglýsingastofa og annarra greiningaraðila

Í 1. mgr. 25. gr. laga nr. 90/2018 er kveðið á um að þegar ábyrgðaraðili felur öðrum vinnslu persónuupplýsinga skuli hann einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og að réttindi skráðra einstaklinga séu tryggð, sbr. einnig 1. mgr. 28. gr. reglugerðarinnar. Þá segir í 3. mgr. 25. gr. laganna að vinnsla af hálfu vinnsluaðila skuli byggja á samningi, sbr. og 3. mgr. 28. gr. reglugerðarinnar.

Þegar stjórnmálasamtök leita til auglýsingastofa/greiningaraðila, með fyrirmæli um hvaða hópi skuli beina auglýsingum og skilaboðum að og með hvaða hætti, er ljóst að gera verður vinnslusamning við hlutaðeigandi aðila í samræmi við framangreint.

Eins og vikið er að hér að framan standa ákveðnar líkur til þess samkvæmt lögum nr. 90/2018 að stjórnmálasamtök og samfélagsmiðlar beri sameiginlega ábyrgð á þeirri vinnslu persónuupplýsinga sem hér um ræðir og er þá eðli málsins samkvæmt ekki þörf á vinnslusamningum. Það sama á við þegar auglýsingastofur og/eða greiningaraðilar (e. data brokers, data analysts, ad tech companies) ákveða upp á sitt eindæmi tilgang og aðferðir við vinnslu persónuupplýsinga. Þegar um tvo ábyrgðaraðila er að ræða þarf að huga að heimild til miðlunar persónuupplýsinga milli þeirra, t.d. samþykki, sem og því að veita fullnægjandi fræðslu. Þá skulu þeir, á gagnsæjan hátt, ákveða ábyrgð hvors um sig á því að skuldbindingar samkvæmt reglugerð (ESB) 2016/679 séu uppfylltar, einkum hvað snertir beitingu réttinda hinna skráðu og fræðsluskyldu hvors um sig, með samkomulagi sín á milli.

Eins og fyrr greinir sendi Persónuvernd erindi til þeirra auglýsingastofa og/eða greiningaraðila (e. data brokers, data analysts, ad tech companies) sem stjórnmálasamtökin kváðu að hefðu unnið fyrir sig á umræddu tímabili. Var þess óskað með vísan til rannsóknarreglu stjórnsýsluréttar að hlutaðeigandi auglýsingastofur og/eða greiningaraðilar (e. data brokers, data analysts, ad tech companies) staðfestu það sem sneri að þeim eða leiðréttu eftir atvikum.

Þrátt fyrir að í þessari yfirferð Persónuverndar hafi verið lögð áhersla á samfélagsmiðla og ábyrgð stjórnmálasamtaka kann að vera tilefni til þess síðar að athuga nánar þátt auglýsingastofa í tengslum við slíka vinnslu persónuupplýsinga á samfélagsmiðlum sem hér um ræðir.

4.3.

Megintillögur um notkun persónuupplýsinga á samfélagsmiðlum í tengslum við kosningar

Með hliðsjón af því sem að framan er rakið, um fræðsluskyldu ábyrgðaraðila og vinnslusamninga, áréttar Persónuvernd að vinnsla stjórnmálasamtaka á viðkvæmum persónuupplýsingum kjósenda, svo sem um stjórnmálaskoðanir, verður að byggjast á afdráttarlausu samþykki hins skráða fyrir vinnslunni. Skal samþykkið vera upplýst og skýrt um hvernig og hverjir megi nota persónuupplýsingar viðkomandi og í hvaða tilgangi. Í því felst meðal annars að gera verður ríkar kröfur til fræðslu til hins skráða og á það einnig við þegar unnið er með almennar persónuupplýsingar á grundvelli heimildarinnar um lögmæta hagsmuni.

Í ljósi þessa og alls framangreinds gerir Persónuvernd eftirfarandi megintillögur um notkun persónuupplýsinga á samfélagsmiðlum í tengslum við kosningar:

1. Að stjórnmálasamtök og önnur hlutaðeigandi stjórnvöld vinni að sameiginlegum verklagsreglum, í samráði við Persónuvernd, sem taki sérstaklega mið af ríkri fræðsluskyldu ábyrgðaraðila, til að unnt verði að tryggja gagnsæi við vinnslu persónuupplýsinga á samfélagsmiðlum í framtíðinni í tengslum við kosningar. Einnig að þær verklagsreglur verði kynntar fyrir starfsmönnum stjórnmálasamtaka og öllum þeim sem vinna fyrir þau, þ.m.t. auglýsingastofum og greiningaraðilum.
2. Að stjórnmálasamtök setji sér hátternisreglur sem stuðli að réttri beitingu reglugerðar (ESB) 2016/679, sbr. 40. gr. og 41. gr. reglugerðarinnar.
3. Að stjórnmálasamtök setji hlekk inn í auglýsingar á samfélagsmiðlum sem vísi notendum á vefsíður þeirra, þar sem verði að finna aðgengilega og skýra fræðslu um hvaða persónuupplýsingar unnið sé með, hvernig þær séu notaðar og í hvaða tilgangi. Einnig verði þar að finna leiðbeiningar um hvernig notendur samfélagsmiðla geti leitað til stjórnmálasamtaka um nánari skýringar og hvernig þeir geti nýtt andmælarétt sinn.
4. Að Persónuvernd, dómsmálaráðuneytið og landskjörstjórn standi að kynningarátaki til að fræða almenning um þá vinnslu persónuupplýsinga sem á sér stað á samfélagsmiðlum í tengslum við kosningar.
5. Að lög um kosningar til Alþingis, nr. 24/2000, verði endurskoðuð í tengslum við markaðssetningu stjórnmálasamtaka, með áherslu á notkun þeirra á samfélagsmiðlum, fyrir kosningar.
6. Að auglýsingastofur og greiningaraðilar (e. data brokers, data analysts, ad tech companies) gæti þeirra sjónarmiða sem rakin hafa verið í áliti þessu, sér í lagi ríkrar fræðsluskyldu ábyrgðaraðila. 

Þá skal áréttað að ákveði stjórnmálasamtök að semja við vinnsluaðila, eins og til dæmis auglýsingastofur, um vinnslu persónuupplýsinga um kjósendur ber þeim að sannreyna að viðkomandi vinnsluaðili geti veitt nægilegar tryggingar fyrir því að hann geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðar (ESB) 2016/679 og að réttindi skráðra einstaklinga séu tryggð. Vinnsla af hálfu vinnsluaðila skal byggjast á samningi sem uppfyllir kröfur 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar.

VI.

Lokaorð – hugleiðingar

Góð kosningaþátttaka er eftirsóknarverð í hverju lýðræðisríki. Því er af hinu góða að hvetja kjósendur til að nýta sér kosningarrétt sinn. Hins vegar hefur tilkoma samfélagsmiðla skapað nýjar hættur gagnvart persónuvernd vegna nýrra aðferða við vinnslu stjórnmálasamtaka á persónuupplýsingum í því skyni að koma áherslum sínum til kjósenda. Tækniþróunin síðastliðinn áratug hefur verið gífurlega hröð og meðal annars leitt til þess að kjósendur eru ekki meðvitaðir um að persónuupplýsingar þeirra eru notaðar til að ná til þeirra með pólitískum skilaboðum.

[Evrópska persónuverndarstofnunin (European Data Protection Supervisor – EDPS) hefur látið sig þessi mál varða, en í því sambandi má nefna álit hennar] nr. 3/2018 um notkun persónuupplýsinga til þess að hafa áhrif á einstaklinga á Netinu. Niðurstaða álitsins felur meðal annars í sér að slík stýring á Netinu ógni samfélögum nútímans þar sem Netið búi til afmörkuð samfélög manna og einstaklingar fái ekki jafnan aðgang að öllum þeim upplýsingum sem þar er að finna. Það leiði svo til þess að einstaklingar eigi erfiðara með að deila reynslu sinni og skilja hver annan. Allt þetta geti grafið undan lýðræðinu sem og öðrum grundvallarréttindum og frelsi manna. Rót vandans sé meðal annars óábyrg, ólögleg og siðferðislega röng notkun á persónuupplýsingum. Gagnsæi sé nauðsynlegt en ekki nóg og mikilvægt sé að beita persónuverndarlöggjöf Evrópusambandsins til hins ýtrasta samhliða almennum reglum um kosningar og fjölbreytni og frelsi fjölmiðla.

Í skýrslu bresku persónuverndarstofnunarinnar, útgefinni 11. júlí 2018, Democracy disrupted? – Personal information and political influence, kemur auk þess fram að stjórnmálasamtök og stjórnmálaöfl í Bretlandi og víðar hafi notað persónuupplýsingar og háþróaða greiningartækni til að ná til einstakra kjósenda í því skyni að fá þá til að kjósa á ákveðinn hátt. Um sé að ræða gerð persónusniða um kjósendur almennt, t.d. á grundvelli notkunar þeirra á samfélagsmiðlum, og notkun þessara persónusniða til að sérsníða skilaboð að einstökum kjósendum.

Loks má nefna að á fundi Evrópska persónuverndarráðsins í Brussel þann 25. september 2018 kynnti dómsmálaráðherra Evrópusambandsins aðgerðir til að tryggja frjálsar og sanngjarnar kosningar, bæði vegna væntanlegra kosninga til Evrópuþingsins á árinu 2019 og einnig vegna þá fyrirhugaðra þingkosninga í að minnsta kosti 13 þjóðríkjum sambandsins. Aðgerðir sambandsins á þessum vettvangi voru settar fram í ljósi mála sem hafa komið upp í ríkjum Evrópu á undanförnum árum, m.a. misnotkunar fyrirtækisins Cambridge Analytica á persónuupplýsingum í tengslum við þjóðaratkvæðagreiðslu um útgöngu Bretlands úr Evrópusambandinu (Brexit) árið 2016.

Í þessum málum hefur komið í ljós að mikil hætta er fyrir hendi á því að herjað verði á borgara í Evrópuríkjum, aðallega á samfélagsmiðlum, með þeim hætti að flókin algrím séu notuð til þess að beina röngum, villandi og persónusniðnum upplýsingum að einstaklingum án þeirra vitundar. Getur afleiðingin orðið sú að grafið sé undan trúverðugleika og lögmæti kosninga, auk þess sem þannig er reynt að hafa bein áhrif á niðurstöður þeirra.

Sömu sjónarmið og að framan greinir eiga við á Íslandi eins og lýst hefur verið að framan. Má jafnvel færa fyrir því rök að þau eigi enn frekar við hér en annars staðar í Evrópu í ljósi þeirrar umfangsmiklu og einsleitu notkunar samfélagsmiðla sem hér viðgengst. Sú staðreynd að rúmlega níu af hverjum tíu fullorðnum einstaklingum á Íslandi nota sama samfélagsmiðilinn gerir úrvinnslu upplýsinga úr þjóðfélagsumræðu auðveldari en ella fyrir þá sem búa yfir tæknilegri þekkingu til þess og skapar kjöraðstæður fyrir ólögmæta vinnslu persónuupplýsinga.

Í því upplýsingaumhverfi sem nú ríkir eru margir, ekki hvað síst ungt fólk, sem ekki lesa prentmiðla og sækja í reynd allar sínar upplýsingar um og fréttir af því sem fram fer í samfélaginu á vettvang samfélagsmiðla. Mikilvægt er að samfélagið og stofnanir þess geri þá kröfu til stjórnmálasamtaka að þau umgangist þá tækni sem samfélagsmiðlar bjóða upp á af ábyrgð. Séu persónuupplýsingar notaðar á samfélagsmiðlum í samræmi við persónuverndarlög ættu þeir að geta gegnt uppbyggilegu og góðu hlutverki við miðlun upplýsinga og ættu sem slíkir að geta ýtt undir lýðræðislega þátttöku og bætt getu kjósenda til að geta tekið ákvarðanir á grundvelli réttra upplýsinga. Til þess að svo megi verða þurfa eftirlitsstofnanir að gegna hlutverki sínu á skilvirkan hátt og tryggja að lögunum sé fylgt. Þannig vernda þær ekki einungis stjórnarskrárvarinn rétt einstaklinga til friðhelgi einkalífs heldur einnig lýðræðislegar stoðir íslensks samfélags.

Í Persónuvernd 5. mars 2020,

Björg Thorarensen
formaður

Aðalsteinn Jónasson              Ólafur Garðarsson

Vilhelmína Haraldsdóttir                   Þorvarður Kári Ólafsson

---

[1] Á tíunda tímanum morguninn 6. mars 2020 var álitið sent stjórnmálasamtökunum. Í kjölfar þess kom fram staðfesting þriggja auglýsingastofa og/eða greiningaraðila á lýsingu þeirra stjórnmálasamtaka sem áttu í hlut. Höfðu viðkomandi aðilar sent erindi sem mátti túlka sem umbeðna móttökustaðfestingu en var ætlað að vera staðfesting á lýsingu samtakanna.

[2] Eftir að álitið kom út barst Persónuvernd tölvupóstur frá dómsmálaráðuneytinu þar sem fram kom að starfsmenn ráðuneytisins könnuðust ekki við að Facebook hefði leitað til þess varðandi umræddan hnapp. Í tilefni af því áttu sér stað samskipti milli Persónuverndar og Facebook í því skyni að óska skýringa frá fyrirtækinu og fara fram á þau gögn sem kynnu að vera til um samskipti þess við ráðuneytið vegna áminningarhnapps vegna kosninganna 2017. Kom fram af hálfu Facebook í tölvupóstsamskiptum að í símtali starfsmanns fyrirtækisins og starfsmanns ráðuneytisins hefði þetta mál verið rætt, að símtalinu hefði verið fylgt eftir með tölvupósti en að eftir því sem fyrirtækið vissi best hefðu ekki átt sér stað frekari samskipti. Afrit af tölvupóstinum var sent Persónuvernd sem viðhengi og segir þar meðal annars að á meðan á kosningum standi virki Facebook vanalega nokkrar afurðir til að auka borgaralega þátttöku, að unnið sé að öflun nauðsynlegra upplýsinga um væntanlegar kosningar, svo og að óskað sé eftir aðstoð við að fá samband við og hitta kjörstjórn eða sambærilegt stjórnvald.

Ekki er hins vegar minnst sérstaklega á Facebook-áminningarhnappinn í tölvupóstinum og taldi Persónuvernd frekari skýringa þörf. Var því þegið boð sem borist hafði frá Facebook um veffund en meðal þeirra sem þann fund sátu var sá starfsmaður fyrirtækisins sem átt hafði áðurnefnd samskipti við ráðuneytið. Um það atriði hvort ráðuneytið hefði verið upplýst um hnappinn sagði hann orð standa gegn orði. Einnig lýsti hann því meðal annars að í aðdraganda kosninga væri haft samband við stjórnvöld í hlutaðeigandi landi til að afla nauðsynlegra upplýsinga um kosningarnar eða fá staðfestar upplýsingar sem Facebook hefði þá þegar sjálft aflað. Þá kom meðal annars fram í máli starfsmannsins, þegar Persónuvernd leitaði staðfestingar á því hvernig atvikum hefði verið háttað, að hann gæti ekki fullyrt um þau vegna þess langa tíma sem liðinn væri frá alþingiskosningunum 2017.

[3] Samkvæmt könnun frá MMR 12. júlí 2019.