Álit á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis 2021 – Áminning vegna komandi kosninga

Mál nr. 2022010107

25.10.2024

Álit

stjórnar Persónuverndar 22. október 2024 í máli nr. 2022010107 vegna frumkvæðisathugunar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis árið 2021:

Inngangur

 

1. Álit þetta er niðurstaða Persónuverndar í frumkvæðisathugun stofnunarinnar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis 25. september 2021 til þess að afmarka markhópa og beina markaðssetningu að þeim. Tekur frumkvæðisathugun þessi, sem tafist hefur vegna óviðráðanlegra atvika og mikilla anna hjá Persónuvernd, til þeirra átta stjórnmálasamtaka sem nú eiga fulltrúa á Alþingi, þ.e. Flokks fólksins, Framsóknarflokksins, Miðflokksins, Pírata, Samfylkingarinnar, Sjálfstæðisflokksins, Viðreisnar og Vinstrihreyfingarinnar – græns framboðs. Var athugunin hafin í framhaldi af eftirfylgnimáli Persónuverndar vegna álits stofnunarinnar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis árin 2016 og 2017. Er meginniðurstöðum álitsins og tillögum Persónuverndar lýst í efnisgreinum 2-4 og bréfaskiptum vegna eftirfylgnimáls stofnunarinnar í efnisgreinum 5-7. Þá er bréfaskiptum vegna athugunar Persónuverndar vegna kosninganna árið 2021 lýst í efnisgreinum 8-41 og loks er lýsingu á niðurstöðum stofnunarinnar að finna í efnisgreinum 42-75, auk áminningar vegna komandi kosninga í efnisgrein 76.
   
   

   Álit Persónuverndar vegna kosninga til Alþingis 2016 og 2017

   Meginniðurstöður og tillögur

2. Hinn 5. mars 2020 samþykkti stjórn Persónuverndar álit stofnunarinnar í máli vegna frumkvæðisathugunar hennar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis árin 2016 og 2017 (mál nr. 2020010116 hjá Persónuvernd). Tók athugunin til þeirra átta stjórnmálasamtaka sem áttu sæti á Alþingi við lok hennar. Fór athugunin fram í tveimur áföngum, fyrst var könnuð vinnsla persónuupplýsinga um félaga stjórnmálasamtakanna sjálfra og því næst um kjósendur almennt eftir að ákveðið hafði verið að útvíkka athugunina.
3. Fyrir lá að netföng félagsmanna í tvennum stjórnmálasamtökum voru sett upp í viðmóti hjá Facebook. Í því fólst að netföngin voru tengd fyrirliggjandi upplýsingum þar og auglýsingar frá samtökunum sendar félagsmönnum á grundvelli þess. Af upplýsingum á vef Facebook varð ráðið að gögnin væru dulkóðuð á vafra auglýsandans og að Facebook sæi því aldrei þessar upplýsingar. Auk þess væri öllu eytt að þessu búnu. Þá lá fyrir að öll stjórnmálasamtökin notuðu persónuupplýsingar til að ná til skilgreindra hópa á samfélagsmiðlum á umræddu tímabili. Öll notuðu þau Facebook og flest einnig aðra samfélagsmiðla, svo sem Instagram og YouTube. Í tilvikum tveggja stjórnmálasamtaka voru einungis notaðar upplýsingar um aldur fólks og staðsetningu. Hjá öðrum stjórnmálasamtökum voru hópar skilgreindir með nákvæmari hætti út frá áhugasviðum þeirra á samfélagsmiðlum. Áhugasviðin voru ýmist skráð af notanda sjálfum eða ákveðin af samfélagsmiðlinum út frá virkni notanda á miðlinum, svo sem því sem hann líkaði við, deildi eða hafði áhuga á. Þannig beindu sum stjórnmálasamtök sérsniðnum skilaboðum til tiltekinna hópa kjósenda sem í ljósi persónusniða voru taldir ýmist líklegir til að kjósa þau eða vera óákveðnir (e. swing voters). Dæmi um þetta var þegar tiltekið var sérstaklega að ekki skyldi birta skilaboð fyrir kjósendum sem aðhylltust ákveðna stefnu í stjórnmálum. Fyrir lá að sumar af þeim breytum sem stjórnmálasamtökin notuðu fólu í sér nokkuð aðgangsharða rýni. Ekki varð séð að félagsmenn stjórnmálasamtakanna og kjósendur almennt hefðu fengið fræðslu um það hvernig staðið væri að þessari vinnslu eða eingöngu að takmörkuðu leyti.
4. Í álitinu voru gefnar leiðbeiningar í ljósi núgildandi persónuverndarlöggjafar, þ.e. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679. Þá voru gerðar tillögur um notkun persónuupplýsinga á samfélagsmiðlum í tengslum við kosningar sem miðuðu að því að stjórnmálasamtök og aðrir ábyrgðaraðilar færu að ákvæðum laganna og reglugerðarinnar. Gerðar voru m.a. eftirfarandi tillögur:
   
   · Að stjórnmálasamtök og hlutaðeigandi stjórnvöld ynnu að sameiginlegum verklagsreglum, í samráði við Persónuvernd, sem tækju sérstaklega mið af ríkri fræðsluskyldu ábyrgðaraðila, til að unnt yrði að tryggja gagnsæi við vinnslu persónuupplýsinga á samfélagsmiðlum í framtíðinni í tengslum við kosningar. Einnig að þær verklagsreglur yrðu kynntar fyrir starfsmönnum stjórnmálasamtaka og öllum þeim sem ynnu fyrir þau, þ.m.t. auglýsingastofum og greiningaraðilum.
   
   · Að stjórnmálasamtök settu hlekk inn í auglýsingar á samfélagsmiðlum sem vísaði notendum á vefsíður þeirra, þar sem yrði að finna aðgengilega og skýra fræðslu um hvaða persónuupplýsingar unnið væri með, hvernig þær væru notaðar og í hvaða tilgangi. Einnig yrði þar að finna leiðbeiningar um hvernig notendur samfélagsmiðla gætu leitað til stjórnmálasamtaka um nánari skýringar og hvernig þeir gætu nýtt andmælarétt sinn.
   
   · Að auglýsingastofur og greiningaraðilar (e. data brokers, data analysts, ad tech companies) gættu þeirra sjónarmiða sem rakin voru í umræddu áliti, sér í lagi ríkrar fræðsluskyldu ábyrgðaraðila.
   
   

   Eftirfylgnimál Persónuverndar vegna álits stofnunarinnar

5. Persónuvernd sendi stjórnmálasamtökunum bréf, dags. 7. maí 2021, vegna eftirfylgni í kjölfar álits stofnunarinnar á notkun stjórnmálasamtaka á samfélagsmiðlum fyrir kosningar til Alþingis árin 2016 og 2017 (mál nr. 2021040917 hjá Persónuvernd). Í bréfunum óskaði stofnunin eftir upplýsingum frá stjórnmálasamtökunum um hvort og hvernig byggt væri á þeim tillögum stofnunarinnar sem komu fram í fyrrnefndu áliti hennar, um notkun persónuupplýsinga á samfélagsmiðlum, í tengslum við alþingiskosningar sem stóðu fyrir dyrum síðar á árinu, og þá sér í lagi varðandi þau þrjú atriði sem nefnd eru hér að framan.
6. Í svörum stjórnmálasamtakanna kom m.a. fram að vinna við setningu sameiginlegra verklagsreglna þeirra um vinnslu persónuupplýsinga á samfélagsmiðlum í tengslum við kosningar væri hafin. Í kjölfarið, þ.e. 24. ágúst 2021, settu þau átta stjórnmálasamtök sem nú eiga sæti á Alþingi sér sameiginlegar verklagsreglur í samráði við Persónuvernd og voru þær birtar á vef stofnunarinnar 17. september s.á.
7. Persónuvernd taldi svör stjórnmálasamtakanna gefa tilefni til að spyrja frekari spurninga í sérstöku frumkvæðismáli, þ.e. því máli sem álit þetta lýtur að, og verður gerð grein fyrir efni þeirra og svörum stjórnmálasamtakanna í efnisgreinum 8-41. Þar verða einnig rakin efnisatriði úr svörum í eftirfylgnimálinu, enda standa málin í beinu samhengi hvort við annað.
   
   

   Frumkvæðisathugun Persónuverndar vegna kosninga til Alþingis árið 2021

   Málsmeðferð og afmörkun máls

8. Með bréfum, dags. 10. febrúar 2022, var stjórnmálasamtökunum tilkynnt að Persónuvernd hefði ákveðið að hefja frumkvæðisathugun á því hvort þau hefðu farið að áliti stofnunarinnar frá 5. mars 2020 við notkun samfélagsmiðla fyrir kosningar til Alþingis 25. september 2021. Óskaði Persónuvernd m.a. eftir að upplýst yrði hvort viðkomandi stjórnmálasamtök hefðu notað samfélagsmiðla til þess að beina skilaboðum til ákveðinna hópa kjósenda eða til að ná til þeirra með öðrum hætti. Ef svo væri, hvaða breytur og/eða hópar hefðu verið skilgreindir og notaðir og hvort skilaboðum hefðu fylgt upplýsingar, t.d. í formi texta eða hlekks, um hvar mætti finna fræðslu um vinnsluna. Að auki var spurt hvort persónuupplýsingum, á borð við netfangalista eða félagaskrár, hefði verið verið miðlað til samfélagsmiðla og hvort viðkomandi stjórnmálasamtök hefðu notað auglýsingastofur og/eða greiningaraðila til þess að beina skilaboðum til ákveðins hóps kjósenda eða til að ná til þeirra með öðrum hætti.
9. Með hliðsjón af svörum stjórnmálasamtakanna tilkynnti Persónuvernd þeim um nánari afmörkun á úttektinni, með bréfi, dags. 7. september 2023, og óskaði nánari upplýsinga á grundvelli þeirrar afmörkunar. Í þessu fólst að kannað yrði hvernig við notkun samfélagsmiðla fyrir kosningar 2021 hefði verið farið að meginreglum persónuverndarlöggjafarinnar um annars vegar lágmörkun gagna og hins vegar sanngjarna og gagnsæja vinnslu, þ.m.t. um fræðslu, sbr. 1. og 3. tölul. 1. mgr. 8. gr. og 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og a- og c-liði 1. mgr. 5. gr. og 12.-14. gr. reglugerðar (ESB) 2016/679.
   

   Svarbréf stjórnmálasamtakanna

10. Hér á eftir verða dregnar saman upplýsingar og skýringar frá stjórnmálasamtökunum sem fram koma í svörum við þeim bréfum Persónuverndar sem getið er í efnisgreinum 5, 8 og 9.
11. Öll stjórnmálasamtökin svöruðu á þá leið að þau hefðu ekki afhent samfélagsmiðlum persónuupplýsingar fyrir kosningar til Alþingis árið 2021. Af svörunum má jafnframt ráða að öll stjórnmálasamtökin hafi notað persónuupplýsingar til að ná til skilgreindra hópa á samfélagsmiðlum á umræddu tímabili. Að öðru leyti eru svör stjórnmálasamtakanna eftirfarandi hvað snertir þau atriði sem frumkvæðisathugun Persónuverndar hefur verið afmörkuð við:
    
    

    A. Flokkur fólksins

12. Flokkur fólksins tók fram í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að allar auglýsingar á samfélagsmiðlum væru og hefðu ávallt verið kyrfilega merktar flokknum og kostaðar af honum. Að mestu hefði Facebook verið notað til auglýsinga og hefði áberandi hnappur verið settur á allar auglýsingar þar sem notandi hefði getað séð hver auglýsti og jafnframt óskað eftir því að fá ekki framar auglýsingar frá flokknum. Jafnframt hefði verið unnt að fara inn á Facebook-síðu flokksins í gegnum auglýsingar hans og þaðan inn á heimasíðu hans. Hins vegar hefði ekki enn verið gengið frá því að færa inn upplýsingar á heimasíðu flokksins um hvaða persónuupplýsingar hann ynni með, hvernig þær væru notaðar og í hvaða tilgangi. Tekið var fram í því sambandi að beðið væri samþykktar fyrirliggjandi frumvarps um starf stjórnmálaflokka og enn hefðu ekki verið birtar auglýsingar af hálfu flokksins í tengslum við komandi alþingiskosningar 2021 enda kosningabaráttan vart hafin.
13. Einnig greinir Flokkur fólksins frá því, í frumkvæðismálinu eftir alþingiskosningar 2021, að hann hafi ekki búið yfir persónuupplýsingum kjósenda í aðdraganda kosninganna, að undanskildum upplýsingum sem skráðar eru í félagaskrá. Þær hafi hins vegar ekki verið nýttar við gerð markhópa á samfélagsmiðlum, þ. á m. til að hafa samband við einstaklinga og koma auglýsingum eða kynningarefni á framfæri, og hvorki hafi félagaskránni né netfangalista verið miðlað til slíkra miðla.
14. Að auki segir í svörum Flokks fólksins að auglýsingum vegna umræddra kosninga hafi verið beint að Facebook-notendum eftir aldurshópum og landshlutum án þess þó að þetta hafi verið tekið fram í auglýsingunum sjálfum. Ekki hafi heldur verið að finna þar texta eða hlekk með fræðslu um hvernig Facebook vinnur með persónuupplýsingar. Hins vegar hafi auglýsingarnar haft að geyma hlekk með yfirskriftinni „Hvers vegna sé ég þessa auglýsingu“ og með því að smella á hann hafi notendur getað nálgast fræðslu um markhópinn sem þeir tilheyrðu. Þá hafi auglýsingarnar verið merktar sem kosninga- og stjórnmálaauglýsingar.
15. Því er enn fremur lýst að á vefsíðu Flokks fólksins birtist tilkynning um notkun vefkakna ásamt beiðni um leyfi fyrir notkun þeirra, auk þess sem persónuverndarstefna flokksins sé þar birt. Jafnframt liggur hins vegar fyrir að sú birting átti sér ekki stað fyrr en eftir alþingiskosningarnar 2021.
    
    

    B. Framsóknarflokkurinn

16. Framsóknarflokkurinn greindi frá því í eftirfylgnimálinu, í svörum sem ekki bárust fyrr en að alþingiskosningum 2021 liðnum, að allir sem fylgdu síðum Framsóknar á Facebook, Instagram og Twitter gerðu það af fúsum og frjálsum vilja og að ekki væri haldið utan um það með neinum hætti hverjir fylgdu síðunum umfram það sem samfélagsmiðlarnir sjálfir skráðu. Jafnframt tók flokkurinn fram að á Facebook hefði verið komið fyrir upplýsingahnappi í auglýsingum með fræðslu til notenda um af hverju þeir sæju viðkomandi auglýsingar, svo og að þeir gætu afþakkað að sjá auglýsingar frá viðkomandi aðila framvegis. Einnig hefði Facebook sett skilyrði fyrir kostun og yrðu ábyrgðaraðilar síðna að skila inn upplýsingum um hver borgaði hverju sinni. Að auki væru auglýsingar frá Framsóknarflokknum flokkaðar sérstaklega af Facebook og merktar sem auglýsingar sem tengdust stjórnmálum, samfélagsmálum eða kosningum, en jafnframt gæti hver sem væri fylgst með hve miklu hver flokkur eyddi í auglýsingar, enda hefði Facebook gert upplýsingar þar að lútandi opinberar. Allar auglýsingar flokksins, bæði á Facebook og annars staðar, væru jafnframt merktar honum og hefði hlekk inn á persónuverndarstefnu flokksins verið bætt inn á Facebook-síðu hans fyrir alþingiskosningar 2021.
17. Að auki tekur Framsóknarflokkurinn fram, í frumkvæðismálinu eftir alþingiskosningar 2021, að ásamt auglýsingum á Facebook hafi flokkurinn birt auglýsingar á Google, Instagram og Youtube í aðdraganda kosninganna. Tekið er fram að við skráningu á slíka miðla samþykki einstaklingur alla þá skilmála sem þeir setji varðandi persónuvernd og séu skilmálarnir mjög strangir. Þá segir að eins og Facebook bjóði Google og Youtube upp á hnappa sem upplýsi um af hverju notandi sjái tiltekna auglýsingu og veiti kost á að loka á auglýsingar frá viðkomandi auglýsanda. Í sumum tilvikum hafi verið um kostaðar færslur að ræða en í öðrum ekki og hafi verið birtar grafískar auglýsingar, myndbönd og textar ásamt myndum. Við dreifingu efnis hafi ekki verið miðlað efni út frá persónuupplýsingum sem flokkurinn bjó yfir og ekki verið unnið með viðkvæmar persónuupplýsingar, svo sem úr félagatali og netfangalistum, en engum slíkum upplýsingum, né heldur öðrum persónuupplýsingum, hafi verið miðlað til annarra aðila í aðdraganda umræddra alþingiskosninga.
18. Flokkurinn lýsir því jafnframt, í svörum vegna frumkvæðismálsins, að tæknilega sé ómögulegt að koma fyrir hlekk inn á persónuverndarstefnu í auglýsingum á Facebook og öðrum samfélagsmiðlum, enda gefi miðlarnir ekki kost á slíkum útfærslum. Þegar smellt sé á auglýsingu færist viðkomandi hins vegar inn á heimasíðu flokksins og geti þá nálgast stefnuna í gegnum hana. Sé þar um að ræða sömu stefnu og var að finna á vefsíðunni í aðdraganda alþingiskosninga 2021.
19. Hvað snertir þær breytur, sem notaðar voru á samfélagsmiðlum fyrir umræddar alþingiskosningar, tilgreinir Framsóknarflokkurinn þessar: Ísland, nánari staðsetning (Reykjavík, Garðabær) og kyn og aldur (t.d. 20-55 ára, 25-60 ára, 50-65 ára+ og 18-65 ára+).
    
    

    C. Miðflokkurinn

20. Miðflokkurinn svaraði því til í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að í öllum auglýsingum sem flokkurinn birti á samfélagsmiðlum væri mjög skýr hlekkur á vefsíðu hans með viðeigandi fræðslu og að svo yrði einnig í auglýsingum í kosningabaráttu vegna komandi alþingiskosninga. Í frumkvæðismálinu eftir þær kosningar bætir flokkurinn því við að hann hafi ekki miðlað neinum persónuupplýsingum, svo sem netfangalistum og félagaskrám, til samfélagsmiðla í tengslum við markaðssetningu flokksins fyrir alþingiskosningar 2021. Eigi það jafnt við um félagaskrá flokksins sem aðrar skrár sem miðlað var til hans frá öðrum aðilum vegna kosninganna. Markaðssetning hafi farið fram í gegnum viðmót Facebook og hafi allar auglýsingar verið rækilega merktar sem efni frá Miðflokknum, auk þess sem ætíð hafi komið fram á áberandi stað, bæði á Facebook og á tengdum miðlum, að um keypta auglýsingu væri að ræða.
21. Einnig lýsir Miðflokkurinn því í frumkvæðismálinu að auglýsingum hafi verið beint til mismunandi markhópa eftir málefnum, þ.e. í ljósi skírskotunar til kjósenda í ákveðnum kjördæmum. Markhóparnir hafi verið afmarkaðir út frá upplýsingum sem einstaklingar höfðu áður gefið upp í kerfi Facebook, svo sem aldri, búsetu og áhugasviðum. Á Facebook-síðu Miðflokksins sé vísað í heimasíðu hans þar sem finna megi verklagsreglur um vinnslu persónuupplýsinga á samfélagsmiðlum í tengslum við kosningabaráttu. Jafnframt hafi auglýsingar að geyma fræðslu til einstaklinga um af hverju þeir sjái þær.
22. Hvað snertir þær breytur, sem notaðar voru á Facebook fyrir umræddar alþingiskosningar, tilgreinir Miðflokkurinn þessar: Búseta (Suðurkjördæmi, Norðausturkjördæmi, Norðvesturkjördæmi og höfuðborgarsvæðið), aldur (t.d. 18-24 ára, 35-44 ára, 55-64 ára) og áhugasvið (landbúnaður), sbr. þó einnig þær skýringar að síðastnefnda breytan hafi á endanum ekki verið notuð eins og nánar greinir hér á eftir. Þá er því lýst að almennt hafi Facebook-auglýsingum verið beint til einstaklinga í öllum aldurshópum, þ.e. á aldrinum 18-65 ára+, en í einstaka tilvikum hafi nánari aldursbreytur verið notaðar.
23. Í tengslum við markhópa er því einnig lýst að auglýsingar hafi ekki verið sendar öllum einstaklingum innan viðkomandi hóps á Facebook heldur ákveðnu hlutfalli. Jafnframt hafi þeir notendur innan hópsins sem horfðu á auglýsingamyndband frá flokknum verið líklegir til að fá frekari myndbönd frá honum, þ.e. samkvæmt því almenna fyrirkomulagi miðilsins að með auknu áhorfi á myndbönd tiltekins aðila verði líklegra að einstaklingur í viðkomandi markhópi sjá fleiri myndbönd frá honum, óháð óskum viðkomandi auglýsanda. Þá segir varðandi áhugasvið að um hafi rætt svonefndan „farming“-markhóp, þ.e. einstaklinga í „farming“-iðnaði eins og Facebook skilgreini það og sé þar annars vegar byggt á nánari breytum sem skilgreindar séu annars vegar sem „Interests: Farmer, Agricultural machinery, Farm or Agriculture“ og hins vegar sem „Industry: Farming, Fishing and Forestry“. Hvað þennan markhóp snertir segir hins vegar einnig að enginn hafi fengið auglýsingar á grundvelli hans þar sem hann hafi ekki skilað niðurstöðum varðandi einstaklinga á Íslandi.
24. Að auki er tekið fram að persónuverndarfulltrúi Miðflokksins taki hlutverk sitt mjög alvarlega og að á fundum flokksins komi það reglulega fram hver hann er. Til hans sé jafnframt ávallt hægt að leita og sé hann iðinn við að ræða við starfsmenn flokksins, sem og félaga í flokknum sérstaklega, á lokuðum viðburðum á vegum hans til að kynna persónuverndarstefnuna. Þá séu félagar upplýstir í hverjum tölvupósti hvernig megi skrá sig af póstlista á einfaldan hátt með hlekk í sama tölvupósti, auk þess sem einfalt sé að skrá sig úr flokknum, t.d. á heimasíðu hans með rafrænum skilríkjum, þ.e. á sama hátt og langflestir skrái sig í flokkinn. Komi skýrt fram við útskráningu að öllum persónuupplýsingum verði eytt úr skrám flokksins.
    
    

    D. Píratar

25. Píratar tóku fram í eftirfylgnimálinu, í svörum sem ekki bárust fyrr en að alþingiskosningum 2021 liðnum, að flokkurinn hefði auglýst á samfélagsmiðlunum Facebook, Instagram og Youtube í kosningabaráttu vegna þeirra kosninga. Í auglýsingum hefði verið hlekkur sem vísað hefði á persónuverndarstefnu Pírata, en þar væri m.a. fjallað um hvernig flokkurinn ynni með persónuupplýsingar, hver réttur notenda væri varðandi eigin persónuupplýsingar, hvert notendur gætu leitað til að nýta rétt sinn og hvert mætti leita teldi notandi misfarið með persónuupplýsingar sínar. Þá hefðu Píratar gætt persónuverndarsjónarmiða með góðri eftirfylgd við persónuverndarlög og sameiginlegar verklagsreglur stjórnmálaflokkanna varðandi persónuvernd á samfélagsmiðlum, sem og með almennri varkárni. Sagði í því sambandi að þjónustuaðili, sem leitað hefði verið til, hefði ekki fengið aðgang að kerfum Pírata, né heldur öðrum persónugögnum, og auk þess fengið fyrirmæli um að nota ekki örnálgun við persónusniðmát, enda væri það stefna Pírata að nota eingöngu almennar breytur við gerð persónusniða væru þau notuð yfirhöfuð.
26. Píratar bæta því við, í frumkvæðismálinu eftir alþingiskosningar 2021, að hvorki netfangalistum né félagaskrám hafi verið miðlað til samfélagsmiðla. Jafnframt er því lýst að auk þeirra atriða í persónuverndarstefnu Pírata, sem fyrr eru nefnd, sé þar fjallað um á hvaða grundvelli unnið sé með persónuupplýsingar og hvernig þær séu notaðar. Að auki kemur fram að um sé að ræða sömu stefnu og var á síðunni í aðdraganda umræddra kosninga, svo og að notast hafi verið við staðlað fyrirkomulag Facebook fyrir stjórnmálaauglýsingar og þá upplýsingagjöf til notenda miðilsins sem í því felst. Þá segir að notast hafi verið við eftirfarandi breytur við afmörkun markhópa á samfélagsmiðlum: Staðsetning (höfuðborgarsvæðið, Norðausturkjördæmi, Suðurkjördæmi, Suðurnesin, Austurkjördæmi, Vestfirðir, Vesturkjördæmi, Norðvesturkjördæmi), kyn (karlkyns, kvenkyns, óþekkt) og aldur (18-44 ára, 25-44 ára, 25-54 ára, 35-65 ára+).
    
    

    E. Samfylkingin

27. Samfylkingin lýsti því í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að 9. október 2018 hefði hún samþykkt og birt persónuverndarstefnu. Á Facebook og Instagram væri að finna áberandi hnapp í auglýsingum sem gæfi skýrlega til kynna ábyrgðaraðila auglýsingarinnar hverju sinni. Þá væri á báðum þessum miðlum, svo og á Twitter, unnt að óska eftir því að sjá ekki framar auglýsingar frá viðkomanda auglýsanda. Það væri og yrði markmið Samfylkingarinnar að tryggja skýran uppruna auglýsinga sinna í hvívetna, sem og að nýta aðeins samfélagsmiðla sem bjóða upp á gagnsæja vinnslu persónuupplýsinga og aðgengilegar leiðir fyrir hina skráðu til að hafna frekari vinnslu þeirra. Að auki hygðist flokkurinn ekki ganga til samninga við aðila sem vinna sérstaklega með viðkvæmar persónuupplýsingar í því skyni að ná til tilekinna hagsmunahópa með ólögmætum hætti í samræmi við leiðbeiningar Evrópska persónuverndarráðsins nr. 8/2020 um nálgun við notendur samfélagsmiðla.
28. Einnig greinir Samfylkingin frá því, í frumkvæðismálinu eftir alþingiskosningar 2021, að notast hafi verið við Facebook, Instagram og að nokkru Google (Google Display Ads) til að ná til tiltekinna hópa í aðdraganda kosninganna, auk þess sem nokkuð hafi verið auglýst á Youtube. Netfangalistum og félagaskrám hafi ekki verið miðlað til þessara miðla, né heldur annarra samfélagsmiðla og þjónustuaðila sem leitað var til vegna sendingar auglýsinga á samfélagsmiðlum. Jafnframt hafi auglýsingar ávallt verið þar birtar með hlekk inn á heimasíðu Samfylkingarinnar þar sem notendum hafi birst vafrakökuborði sem vísaði inn á persónuverndarstefnu flokksins. Allar auglýsingar hafi verið skýrlega skráðar sem pólitískar og/eða samfélagslegar á Facebook og Instagram sem veiti hinum skráðu upplýsingar um hver sýni viðkomandi efni og út frá hvaða breytum. Jafnframt geti hinn skráði kosið að hafna auglýsingum. Þá hafi Facebook-auglýsingar haft að geyma hlekkinn „Um Samfylkinguna“ þar sem finna megi upplýsingar um persónuvernd og hlekk á persónuverndarstefnu flokksins. Helstu breytur sem notaðar hafi verið til að senda fólki skilaboð hafi verið aldur, staðsetning og áhugamál.
29. Því er nánar lýst að 205 svokölluð „ad sets“ hafi farið í birtingu á Facebook og Instagram, en með þeim sé m.a. ákvarðað hvar, hversu lengi og hverjum auglýsingar birtast. Flestar auglýsingarnar hafi beinst að fólki á kosningaaldri (18 ára og eldri), staðsettu og/eða búsettu á Íslandi án nánari skilgreiningar þar á. Jafnframt er ítarlega greint frá öðrum breytum sem Samfylkingin notaðist við, en m.a. eru eftirfarandi nefndar í svörum flokksins: Staðsetning (afmörkun út frá helstu þéttbýliskjörnum á Íslandi, t.d. Akureyri (+40 km), höfuðborgarsvæðið og Vestmannaeyjar (+40 km)), kyn, aldur (t.d. 25-35 ára eða 18 ára og eldri), tungumál (allir á Íslandi sem höfðu Facebook stillt á tilteknu tungumáli – auglýsingum á pólsku var beint að þeim sem höfðu stillt á pólsku), áhugamál (einkum þau sem sneru að samfélagsmálefnum og ákveðnum starfsstéttum, auk málefna sem höfðuðu til foreldra, fjölskyldu- og barnafólks, fólks í húsnæðisleit, íþróttaáhugafólks, jafnréttissinna og háskólafólks, en auglýsingar voru nánar tiltekið sendar þeim sem líkað höfðu við tiltekin samtök og stofnanir á sviði mannréttinda og samfélagsmála, sem og þeim sem þóttu hafa áhuga á t.d. arkitektúr, bókmenntum og ljóðlist, femínisma, íþróttum, húsnæðislánum, jafnaðarmennsku (social democracy), jafnrétti, hönnun, mannréttindum, prjónaskap og handavinnu, samfélagslegum jöfnuði, stjórnmálum, tónlist og umhverfisvernd), atvinna (fólk sem líklegt var til að starfa í samfélags- og nærsamfélagsþjónustu og heilbrigðisþjónustu), fjölskylduaðstæður (fólk í hjónabandi, foreldrar barna á öllum aldri, sem og foreldrar ungs fólks á aldrinum 18-26 ára, auk breytunnar „ekki foreldrar“), menntunarstig (fólk í framhaldsnámi, framhaldsskóla eða sem lokið hafði einhverju námi í framhaldsskóla) og skóli (fólk sem hafði tilgreint að það væri við nám eða að það hefði verið við nám í tilteknum skólum).
30. Að auki segir að Samfylkingin hafi notast við markhópa og líkindahópa út frá fólki sem líkaði við tilgreint efni á samfélagsmiðlum, þ.e. fólki sem heimsótti vefsíðu flokksins á tilteknu tímabili (100 daga fyrir kjördag, sem og síðasta almanaksár frá kjördegi), sem og fólki sem horfði á myndbönd sem flokkurinn birti. Upplýsingar um slíkt hafi verið sóttar með vefkökum á grundvelli samþykkis.
    
    

    F. Sjálfstæðisflokkurinn

31. Sjálfstæðisflokkurinn tók fram í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að samfélagsmiðlar á borð við Facebook gerðu notendasamninga við þá sem skrá sig á miðilinn. Með þess konar samningum væri miðlunum veitt heimild til að beina m.a. auglýsingaefni að notendum. Þannig væri tryggt að tilkynningum og auglýsingum væri eingöngu miðlað til þeirra sem væru skráðir notendur viðkomandi miðils og hefðu samþykkt notendaskilmála hans þar sem veitt væri samþykki fyrir því að slíku efni væri beint til þeirra. Hvað snertir Facebook og fræðslu í auglýsingum þar hefði miðillinn jafnframt sjálfur átt þátt í að leysa málið. Áberandi hnappur hefði verið settur á allar auglýsingar þar sem notandi miðilsins gæti séð hver auglýsir og jafnframt óskað eftir því að sjá ekki framar auglýsingar frá viðkomandi auglýsanda. Þá tækju einstaklingar sjálfviljugir ákvörðun um að skrá sig á samfélagsmiðla og undirgengjust notendaskilmála þeirra af frjálsum vilja. Stjórnmálaflokkarnir ættu enga aðkomu að þeim samskiptum og utanumhaldi miðlanna á upplýsingum um notendur þeirra. Hins vegar hefði Sjálfstæðisflokkurinn sett hlekk á áberandi stað á Facebook-síðu á vegum flokksins þar sem unnt væri að líka við hann, en sá hlekkur vísaði inn á heimasíðu flokksins þar sem finna mætti leiðbeiningar um hvernig komast mætti hjá því að móttaka auglýsingar frá flokknum á þeim samfélagsmiðlum sem hann auglýsti á. Þá mætti þar komast inn á persónuverndarstefnu flokksins sem innihéldi lýsingu á hvaða persónuupplýsingar hann héldi um flokksmenn, hvernig þær væru notaðar og í hvaða tilgangi.
32. Að auki tekur Sjálfstæðisflokkurinn fram, í frumkvæðismálinu eftir alþingiskosningar 2021, að árið 2020 hafi hann sett fyrirvara á tvo áberandi staði á fyrrnefndri Facebook-síðu flokksins. Annars vegar sé um að ræða dálkinn „Um síðuna“ þar sem skýrlega sé tekið fram að henni sé ekki ætlað að halda utan um félagatal flokksins en sé þess í stað opin þannig að öllum sé frjálst að líka við hana. Jafnframt sé tekið þar fram að Sjálfstæðisflokkurinn kunni að beina auglýsingum sérstaklega til þeirra sem nýti sér þann möguleika og að þeim sem ekki vilja sjá auglýsingar frá flokknum sé vísað á hlekk til að frábiðja sér auglýsingar. Hins vegar sé um að ræða dálkinn „Kynning“ sem segja megi að sé mest áberandi upplýsingadálkur forsíðunnar, en þar sé að finna hlekkinn „Viltu ekki auglýsingar frá Sjálfstæðisflokknum“. Sá hlekkur vísi á upplýsingasíðu á heimasíðu flokksins þar sem fólki séu gefnar ítarlegar, auðskiljanlegar leiðbeiningar um það hvernig forðast megi auglýsingar frá flokknum á öllum helstu samfélagsmiðlum sem bjóða upp á auglýsingar. Einnig er áréttað að vísað hafi verið á persónuverndarstefnu flokksins sem birt hafi verið á heimasíðu hans, en upphaflega hafi verið um að ræða stefnu frá 2018 en nú stefnu frá 2022. Þá megi á heimasíðunni finna sameiginlegar verklagsreglur stjórnmálaflokkanna frá 16. júní 2021 um vinnslu persónuupplýsinga á samfélagsmiðlum í tengslum við almennar kosningar, auk nánari vinnureglna Sjálfstæðisflokksins frá 2022 á grundvelli þeirra. Er tekið fram í þessu sambandi að í aðdraganda alþingiskosninga 2021 hafi kosningastjórar verið sérstaklega upplýstir um fyrrnefndu reglurnar og þeim gefin fyrirmæli um að hvergi mætti hvika frá þeim, en jafnframt hafi aðrir sem komu að kosningabaráttunni verið fræddir um reglurnar og látnir kynna sér þær.
33. Einnig segir að Sjálfstæðisflokkurinn hafi ekki miðlað persónuupplýsingum, þ. á m. netfangalistum og félagaskrá, til samfélagsmiðla, né heldur að öðru leyti notast við persónuupplýsingar hjá flokknum til að nálgast einstaklinga á slíkum miðlum. Jafnframt er tekið fram að auk Facebook hafi verið notast við samfélagsmiðlana Instagram, Youtube, Twitter, Linkedin og Snapchat svo sem greini í áðurnefndum vinnureglum flokksins. Þessa miðla hafi mismikið verið notast við og í aðdraganda kosninga 2021 hafi einungis miðlarnir Facebook, Instagram og Youtube (Google Ads) verið notaðir til auglýsinga. Megindrættir upplýsingastefnu vegna slíkra miðla séu að veita flokksmönnum og almennum kjósendum upplýsingar sem geti verið af hvaða tagi sem er og varðað m.a. viðburði, fundi, skilaboð, fjáröflun, stefnumál og ýmsa hluti í tengslum við kosningar og aðra starfsemi flokksins. Efni af heimasíðu hans sé t.d. deilt á Facebook-síðu hans og fyrir sumt af efninu sé keypt aukin dreifing (e. boost). Fæstir miðlanna bjóði upp á að auglýsandi geti sjálfur sett sinn eigin hlekk í auglýsingar sínar með fyrirvara um vinnslu persónuupplýsinga. Eins og fyrr greinir hafi Facebook hins vegar sett upplýsingahnapp í auglýsingar, en jafnframt hafi Instagram gert slíkt hið sama. Auk upplýsinga um hver auglýsi og hvernig megi frábiðja sér frekari auglýsingar sé því lýst hvort og þá hvers konar persónusnið notast er við og hversu miklu hefur verið eytt í viðkomandi auglýsingu. Á Youtube, sem minna hafi verið notað, sé jafnframt að finna svipaða fræðslu, auk þess sem auglýsingar flokksins séu birtar á Facebook-síðu hans ásamt fyrrgreindum hlekk á leiðbeiningar á heimasíðu flokksins um hvernig andmæla megi auglýsingum.
34. Því er enn fremur lýst að það efni og þær auglýsingar sem Sjálfstæðisflokkurinn birti á samfélagsmiðlum beri þess skýr merki að stafa frá flokknum. Jafnframt séu auglýsingar, sem auglýsendur kaupa af samfélagsmiðlum, merktar sem kostaðar (e. sponsored) og eigi það við um þær auglýsingar sem flokkurinn hafi keypt. Auk þess megi í svonefndu „Ads Library“ á Facebook sjá upplýsingar um allar auglýsingar stjórnmálasamtaka, þ.m.t. upplýsingar um kostnað, að hverjum auglýsingum er beint og hversu lengi þær eru birtar. Þá er tekið fram að Sjálfstæðisflokkurinn hafi ekki nýtt sér örnálgun (e. microtargeting) á samfélagsmiðlum, né heldur eigin persónusnið. Hafi eingöngu verið stuðst við almennar lýðfræðiupplýsingar til afmörkunar einstakra markhópa, en slíkar upplýsingar frá samfélagsmiðlum séu ópersónugreinanlegar fyrir kaupandann. Nánar tiltekið sé þar um að ræða m.a. landfræðilega afmörkun og aldurs- og kynjaskiptingu sem samsvari skiptingu flokksins í einstök aðildarfélög og þær upplýsingar sem notendur hafi sjálfviljugir látið af hendi til viðkomandi miðils. Af þessum breytum sé ýmist stuðst við eina eða fleiri og sé hugað að því að afmörkun hópa, sem skilaboðum er beint að, sé hófleg, samrýmist lýðræðislegum gildum og sé í hvívetna sanngjörn gagnvart notendum miðlanna. Þá er m.a. tekið fram að áherslur á samfélagsmiðlum kunni að hafa mótast af ópersónugreinanlegum niðurstöðum skoðanakannana sem gerðar voru fyrir flokkinn, svo og að ekki hafi verið beint skilaboðum að einstaklingum til að koma í veg fyrir að þeir nýttu sér kosningarétt sinn. Slíkt geri flokkurinn aldrei, auk þess sem hann miðli hvorki óhróðri um önnur stjórnmálasamtök eða einstaka frambjóðendur né öðru sambærilegu efni.
    
    

    G. Viðreisn

35. Viðreisn lýsti því í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að auglýsingar flokksins á samfélagsmiðlum væru merktar sem auglýsingar sem tengjast samfélagsmálum, kosningum og stjórnmálum. Var tekið fram að sú merking gerði notendum kleift að öðlast á hverjum degi heildstætt yfirlit yfir þær auglýsingar sem birtar væru á kostnað flokksins á slíkum miðlum og mætti sjá slíkt yfirlit á þar til gerðri Facebook-síðu. Því er bætt við í, í frumkvæðismálinu eftir alþingiskosningar 2021, að um hafi verið að ræða 102 svokölluð sett (e. ad sets). Af þeim hafi 45 verið beint að fólki sem hafði líkað við flokkinn á Facebook og Instagram eða heimsótt vefsíðu flokksins. Jafnframt hafi 45 settum verið beint að fólki sem Facebook ályktaði að svipaði til þess hóps (e. lookalike audience), auk þess sem 12 settum hafi verið beint að fólki á aldrinum 18-35 ára á Íslandi. Þá hafi sex auglýsingar verið birtar í færslum með aukna dreifingu á Facebook (e. boost). Þar af hafi einni verið beint að fólki sem hafði líkað við Viðreisn á þeim miðli, svo og vinum þess fólks, en hinum hafi einungis verið beint að fólki eldra en 18 ára sem staðsett var á Íslandi eða í tilteknu kjördæmi. Tekið er fram að í engum framangreindra tilvika hafi Viðreisn fengið upplýsingar um það að hvaða einstaklingum auglýsingum hafi verið beint eða frekari persónugreinanlegar upplýsingar um viðkomandi hóp.
36. Einnig greinir Viðreisn frá því að ekki hafi verið unnið með aðrar persónuupplýsingar en vafrakökur og þá í samræmi við fyrirvara og upplýsingar í persónuverndarstefnu flokksins, svo og val fólks þegar það er spurt í fyrstu heimsókn á vefsíðu hans hvort það samþykki notkun á kökum. Að auki hafi engar persónuupplýsingar um félagsfólk og íslenska kjósendur verið færðar inn í tölvukerfi sem notað er til að beina markaðsefni að fólki á Netinu, né heldur afhentar auglýsingastofu sem leitað var þjónustu hjá. Þá hafi Viðreisn ekki notað persónusniðmát samfélagsmiðla til að beina auglýsingum að þröngt afmörkuðum hópum og einstaklingum, þ. á m. við sendingu fyrrgreindra auglýsinga til einstaklinga sem svipaði til tiltekins hóps, en þær auglýsingar hafi verið almenns eðlis.
37. Því er lýst að á síðu Viðreisnar á Facebook sé að finna hlekk á áðurnefnda persónuverndarstefnu, en þar sé greint frá þeim upplýsingum sem safnað sé í gegnum vafrakökur, hvernig unnið sé með þær og hver lagaheimildin sé fyrir vinnslunni. Þar sé einnig greint frá réttindum almennings á grundvelli persónuverndarlaga, þ. á m. réttinum til að gleymast, og upplýst um rétt fólks til að beina kvörtunum og athugasemdum til Persónuverndar. Auk þess sé upplýst um það á Facebook og Instagram hver greiði fyrir stjórnmálaauglýsingu. Enn fremur sé unnt að smella á hlekkinn „Hvers vegna sé ég þessa auglýsingu“ til að fá vitneskju um hvaða hópum viðkomandi auglýsing sé birt. Þá sé að finna leiðbeiningar á samfélagsmiðlum um hvernig fólk geti afþakkað auglýsingar frá Viðreisn, svo og um að auglýsingum geti verið beint að þeim sem líka við síðu flokksins.
38. Í tengslum við persónuverndarstefnuna er tekið fram að hún geymi þá fræðslu sem veitt var vegna vinnslu persónuupplýsinga við notkun samfélagsmiðla fyrir alþingiskosningar 2021. Þá er m.a. vísað sérstaklega til þess sem greinir í 10. gr. stefnunnar um hvernig einstaklingur getur óskað vitneskju um vinnslu eigin persónuupplýsinga, leiðréttingu og eyðingu persónuupplýsinga og neytt réttar til að takmarka vinnslu slíkra upplýsinga.
    
    

    H. Vinstrihreyfingin – grænt framboð

39. Vinstrihreyfingin – grænt framboð greindi frá því í eftirfylgnimálinu, í svörum sem bárust fyrir alþingiskosningar 2021, að auglýsingar flokksins á samfélagsmiðlum væru merktar sem auglýsingar sem tengjast samfélagsmálum, kosningum og stjórnmálum og gerði sú merking notendum kleift að öðlast á hverjum tíma heildstætt yfirlit yfir þær auglýsingar sem birtar eru kostnað flokksins á Facebook og Instagram, þ.e. í því sem nefnt er „Ads Library“. Því er bætt við, í frumkvæðismáli Persónuverndar eftir alþingiskosningar 2021, að á Facebook, sem nýtt hafi verið til auglýsinga á vegum flokksins, hafi verið komið fyrir áberandi hnapp í allar auglýsingar þar sem megi sjá hver auglýsir og einnig óska eftir að sjá ekki framar auglýsingar frá viðkomandi auglýsanda.
40. Að auki lýsir Vinstrihreyfingin – grænt framboð því í frumkvæðismálinu að persónuupplýsingum á borð við netfangalista og félagaskrár hafi ekki verið miðlað til samfélagsmiðla. Jafnframt segir að ásamt Facebook hafi verið notast við Twitter og Instagram til að ná til kjósenda en að eingöngu hafi þó verið keypt auglýsingapláss á Facebook og Instagram. Tekið er fram í því sambandi að almennt hafi VG reynt að ná til kjósenda með almennum auglýsingum sem ekki beinast að tilteknum hópum, en auglýsingar hafi þó verið stilltar inn á tiltekin landsvæði, m.a notendur innan 50 kílómetra frá Reykjavík, svo og aldur notenda og kyn.
41. Einnig er tekið fram að í persónuverndarstefnu flokksins sé tilgreint hvaða tegundir persónuupplýsinga unnið sé með og í hvaða tilgangi, með hvaða hætti vinnslan fari fram og á hvaða heimild vinnslan sé byggð, þ.e. lögmætum hagsmunum flokksins og því samþykki sem notandi hafi þegar veitt samfélagsmiðli. Í öllum skilaboðum á slíkum miðlum komi fram hver sendandi og greiðandi auglýsingar sé. Jafnframt segir m.a. að miðlæg kosningastjórn og kosningastjórar hafi ákveðið tilgang og aðferðir við vinnslu persónuupplýsinga, en tilgangurinn hafi verið að ná til sem flestra kjósenda. Þá er tekið fram að persónuverndarstefnan hafi verið notuð til að tryggja lágmörkun gagna og gagnsæi, auk sameiginlegra verklagsreglna stjórnmálaflokkanna. Nálgast megi persónuverndarstefnuna á heimasíðu flokksins, auk þess sem á Instragram- og Facebook-síðum hans sé að finna hlekk á stefnuna þar sem verklagsreglurnar komi fyrir, en þær hafi verið kynntar starfsfólki og auglýsingastofum.
    
    

    Niðurstöður Persónuverndar

    Gildissvið persónuverndarlaga og afmörkun máls

42. Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
43. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
44. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
45. Eins og fyrr greinir er meginmarkmið frumkvæðismáls þessa að kanna hvort stjórnmálasamtök hafi farið að áliti Persónuverndar frá 5. mars 2020 við notkun samfélagsmiðla til að beina skilaboðum til kjósenda fyrir kosningar til Alþingis árið 2021, þ.e. við mat á því annars vegar hvort farið hafi verið að meginreglum um lágmörkun gagna og hins vegar sanngjarna og gagnsæja vinnslu, þ.m.t. um fræðslu, sbr. efnisgrein 9. Er jafnframt ljóst samkvæmt framangreindum ákvæðum að notkun upplýsinga um virkni notenda á samfélagsmiðlum felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar, sbr. 39. gr. laganna. Þá ber að líta til 2. gr. c í lögum nr. 162/2006 um starfsemi stjórnmálasamtaka, en þar er Persónuvernd falið eftirlit með framkvæmd sérákvæða í þeim lögum um vinnslu persónuupplýsinga á vegum slíkra samtaka, þ. á m. til að beina efni og auglýsingum að einstaklingum, sbr. 3. tölul. 2. gr. b í lögunum.
    
    

    Ábyrgðaraðili – Vinnsluaðili

46. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Ábyrgðaraðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður, einn eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.
47. Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
48. Þegar stjórnmálasamtök nota samfélagsmiðla með þeim hætti sem hér hefur verið lýst, eða senda skilaboð til markhópa með öðrum hætti, teljast þau vera ábyrgðaraðilar að þeirri vinnslu sem í því felst, sbr. m.a. efnisgrein 138 í áliti Evrópska persónuverndarráðsins nr. 8/2020 um nálgun við notendur samfélagsmiðla. Þá teljast samfélagsmiðlar líka bera ábyrgð við umrædda vinnslu, sbr. sömu efnisgrein, svo og auglýsingastofur og greiningaraðilar við ákveðnar aðstæður. Vísast um þetta til dóms Evrópudómstólsins frá 29. júlí 2019, í máli Fashion ID, nr. C-40/17, þar sem fram kemur að ábyrgð hvers og eins ábyrgðaraðila einskorðast við þær vinnsluaðgerðir sem viðkomandi ákvarðar tilganginn fyrir og aðferðir. Þó skal tekið fram að atvik í máli þessu eru annars konar en í frumkvæðisathugun þessari. Þá er sjónum í málinu beint að ábyrgð stjórnmálasamtakanna sjálfra. Ábyrgðar auglýsingastofa og greiningaraðila er því fyrst og fremst getið hér til áréttingar á sjónarmiðum þar að lútandi sem rakin eru í fyrrnefndu áliti 5. mars 2020, sbr. kafla 4.2.5 í álitinu.
    
    

    Lagaumhverfi – Verklagsreglur stjórnmálasamtaka

49. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Líta má svo á að notkun stjórnmálasamtaka á samfélagsmiðlum til að beina skilaboðum til kjósenda sé ákveðið form markaðssetningar, þ.e. í þeim tilgangi að hafa áhrif á skoðanir fólks þannig að líkur aukist á stuðningi þess við samtökin. Hefur verið litið svo á að vinnsla persónuupplýsinga í markaðssetningarskyni geti byggst á 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra. Þá getur vinnslan verið heimil á grundvelli 1. tölul. 9. gr. laganna um að vinna megi með persónuupplýsingar á grundvelli samþykkis hins skráða, sbr. a-lið 1. mgr. 6. gr. reglugerðarinnar.
50. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Fyrir liggur að ákveðnir flokkar, sbr. efnisgreinar 60-61, unnu með upplýsingar sem leiddar eru af virkni notenda á samfélagsmiðlum, svo sem um það sem þeir hafa líkað við, í því skyni að beina skilaboðum til kjósenda. Geta slíkar afleiddar persónuupplýsingar veitt vísbendingu um t.d. stjórnmálaviðhorf, sbr. m.a. efnisgreinar 121-126 í fyrrnefndu áliti Evrópska persónuverndarráðsins nr. 8/2020, sbr. einnig m.a. efnisgrein 73 í dómi Evrópudómstólsins 4. júlí 2023 í máli nr. C-252/21. Eins og fram kemur í a-lið 3. tölul. 3. gr. laganna, sbr. 1. mgr. 9. gr. reglugerðarinnar, eru upplýsingar um stjórnmálaskoðanir viðkvæmar og þarf vinnsla þeirra því að samrýmast 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Kemur þá einkum til greina 1. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinna megi með viðkvæmar persónuupplýsingar samkvæmt afdráttarlausu samþykki hins skráða fyrir vinnslunni, sbr. einnig a-lið 2. mgr. 9. gr. reglugerðarinnar.
51. Má í tengslum við framangreint nefna þrjár ákvarðanir Evrópska persónuverndarráðsins, þ.e. annars vegar ákvarðanir nr. 3 og 4/2022 frá 5. desember 2022 og hins vegar ákvörðun nr. 1/2023 frá 27. október 2023. Lúta þessar ákvarðanir að tilteknum þáttum máls hjá írsku persónuverndarstofnuninni sem bárust ráðinu til úrlausnar á grundvelli annars vegar 65. gr. og hins vegar 2. mgr. 66. gr. reglugerðar (ESB) 2016/679, en málið lýtur að heimild Meta, eiganda samfélagsmiðlanna Facebook og Instagram, til notkunar upplýsinga um nethegðun við afmörkun markhópa á samfélagsmiðlum. Í ákvörðunum nr. 3 og 4/2022, sem fjalla hvor um sinn miðilinn, er fjallað um hvort nýta megi nethegðunarupplýsingar í því skyni á grundvelli nauðsynjar vegna samnings, sbr. b-lið 1. mgr. 6. gr. reglugerðarinnar (sbr. 2. tölul. 9. gr. laganna). Kemur m.a. fram að slík nauðsyn geti ekki talist til staðar þar sem aðrar vægari leiðir séu færar en notkun upplýsinga um nethegðun, t.d. afmörkun markhópa út frá staðsetningu og tungumáli, sbr. efnisgrein 121 í ákvörðun nr. 3/2022 og efnisgrein 124 í ákvörðun nr. 4/2022, og er komist að þeirri niðurstöðu að umrædd vinnsluheimild geti ekki átt við, sbr. efnisgrein 133 í fyrrnefndu ákvörðuninni og efnisgrein 137 í þeirri síðarnefndu. Þá er í ákvörðun nr. 1/2023 fjallað um hvort unnt sé að byggja vinnslu eins og hér um ræðir á lögmætum hagsmunum sem vega þyngra en hagsmunir hins skráða, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar (sbr. 6. tölul. 9. gr. laganna). Áréttað er m.a. að til eru vægari leiðir en notkun nethegðunarupplýsinga, sbr. efnisgreinar 130-131, og komist að niðurstöðu um að lögmætir hagsmunir sem vinnsluheimild komi hér ekki til greina, sbr. efnisgrein 148.
52. Að virtum framangreindum ákvörðunum verður ekki séð að aðrar heimildir en samþykki, sbr. 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, geti rennt stoðum undir slíka notkun persónusniða í þágu beinnar markaðssetningar og hér um ræðir. Verður enda ráðið af ákvörðununum að aðrar þær vinnsluheimildir, sem líta mætti til í umræddu samhengi, séu þar ófullnægjandi og að því yrði að krefjast samþykkis notenda. Gera verður ríkar kröfur til þess samþykkis, sbr. m.a. efnisgrein 161 í áliti Evrópska persónuverndarráðsins nr. 8/2024 frá 17. apríl 2024. Þá má telja ljóst að samþykki til vinnslu viðkvæmra persónuupplýsinga þyrfti hér að teljast afdráttarlaust í skilningi 1. tölul. 1. mgr. 11. gr. laganna og a-liðar 2. mgr. 9. gr. reglugerðarinnar, þ.e. fullnægja auknum kröfum um skýrleika.
53. Skal í þessu sambandi bent á að til úrlausnar hefur verið í umræddu máli hjá írsku persónuverndarstofnuninni hvort Meta afli fullnægjandi samþykkis fyrir að beinni markaðssetningu sé beint að notendum með gerð persónusniða og að niðurstaða þar að lútandi liggur ekki fyrir. Starfar írska stofnunin þar sem forystuyfirvald vegna máls sem varðar vinnslu yfir landamæri, þ.e. í þessu tilviki innan ESB og EES í heild sinni og þar með á samevrópskum vettvangi, og mun niðurstaða málsins hafa þar alls staðar vægi. Er enda tekið fram í fyrrnefndri ákvörðun Evrópska persónuverndarráðsins nr. 1/2023, þ.e. efnisgrein 151, að ekki sé þar tekin afstaða í tengslum við samþykki á Facebook og jafnframt vísað til þess að mat í þeim efnum standi yfir hjá írsku stofnuninni.
54. Auk heimildar samkvæmt framangreindu þarf vinnsla persónuupplýsinga ávallt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Felst í því að þær skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. ákvæðis laganna og a-lið ákvæðis reglugerðarinnar; að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins; að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og d-lið reglugerðarákvæðisins; og að þær skuli varðveittar á því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Skal ábyrgðaraðili ávallt geta sýnt fram á að farið sé að þessum kröfum, sbr. 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar. Jafnframt tekur Persónuvernd fram að fyrstnefnda krafan, einkum hvað snertir gagnsæi, hefur sérstaka þýðingu við mat á hvort samþykki skráðs einstaklings teljist hafa verið veitt. Þá skal nefnt að vísað er til þriðju kröfunnar sem reglunnar um lágmörkun gagna og lýtur hún almennt að því að meðalhófs sé gætt við vinnslu persónuupplýsinga.
55. Umræddar grunnkröfur eru útfærðar nánar í ákvæðum III. og IV. kafla laga nr. 90/2018, sbr. ítarlegri ákvæði í III. og IV. kafla reglugerðar (ESB) 2016/679, þar sem mælt er fyrir um margvíslegar skyldur sem ábyrgðaraðila ber að fara að. Í tengslum við ábyrgð hans á að farið sé að kröfunum má til áréttingar nefna ákvæði 25. gr. laganna og 28. gr. reglugerðarinnar um réttarsamband ábyrgðaraðila og vinnsluaðila, m.a. samninga þeirra á milli til að afmarka kröfur til hinna síðarnefndu. Í tengslum við sanngirniskröfuna má auk þess nefna skyldu til að veita kost á andmælum við beinni markaðssetningu, sbr. 2. mgr. 21. gr. reglugerðarinnar, sbr. einnig ákvæði í sérlögum, sbr. efnisgrein 56, sem þó verður að telja ljóst að eigi ekki við um samfélagsmiðla, sbr. efnisgrein 57. Þá má nefna skyldur til að tryggja gagnsæi vinnslu, þ. á m. með því að veita hinum skráða fræðslu um vinnslu persónuupplýsinga. Er sú skylda til staðar bæði þegar upplýsinga er aflað frá honum sjálfum og þegar þeirra er aflað frá þriðja aðila, sbr. 2. mgr. 17. gr. laganna, sbr. 13. og 14. gr. reglugerðarinnar, en sérstaklega getur reynt á þessa skyldu í tengslum við slíka vinnslu og hér um ræðir. Frá henni eru undantekningar samkvæmt ákvæðunum sjálfum, sbr. einnig 23. gr. reglugerðarinnar, sem ekki verður séð að eigi við hér.
56. Að auki skal minnt á að í lögum nr. 162/2006 um starfsemi stjórnmálasamtaka er að finna sérstakar kröfur í tengslum við vinnslu slíkra samtaka á persónuupplýsingum um almenning, en þær hafa m.a. þýðingu við mat á hvort gætt hafi verið að grunnkröfum um sanngirni og meðalhóf, sbr. efnisgrein 54. Segir í 2. gr. b í umræddum lögum, sbr. lög nr. 109/2021, að um aðgang stjórnmálasamtaka að kjörskrá fari að löggjöf um kosningar. Þá kemur fram að þeim er að öðru leyti heimilt að beina efni og auglýsingum í tengslum við stjórnmálabaráttu til almennings að því gættu að (1) fullnægt sé skilyrðum laga um skráningu einstaklinga, nr. 140/2019, um notkun úrtaks úr þjóðskrá til markaðssetningar, sbr. 1. tölul. ákvæðisins; að (2) fullnægt sé skilyrðum laga um fjarskipti, nr. 70/2022, um óumbeðin fjarskipti, sbr. 2. tölul. ákvæðisins; að (3) farið sé að skilyrðum laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, sbr. 3. tölul. ákvæðisins; svo og að (4) persónusnið séu ekki nýtt til að beina að einstaklingum efni og auglýsingum sem fela í sér hvatningu um að nýta ekki kosningaréttinn, auk þess sem nýting persónusniða samrýmist að öðru leyti lýðræðislegum gildum, sbr. sama tölulið.
57. Hvað snertir fyrstnefnda atriðið í framangreindri upptalningu reynir á 3. mgr. 15. gr. laga nr. 140/2019, en eins og rakið er í kafla 4.2.4 í áliti Persónuverndar 5. mars 2020 er þar byggt á ákvæði úr eldri löggjöf sem ekki var sett með samfélagsmiðla í huga. Jafnframt á hið sama við um annað atriðið þar sem reynir á 94. gr. laga nr. 140/2019, en það ákvæði byggist á Evrópulöggjöf frá því fyrir daga nútíma samfélagsmiðla, þ.e. tilskipun 2002/58/EB um einkalífsvernd í fjarskiptum, og verður ekki talið ljóst að það taki til slíkra miðla. Hvað snertir þriðja atriðið skal hins vegar áréttað að fyrrnefnt ákvæði um andmælarétt vegna markaðssetningar í 2. mgr. 21. gr. reglugerðar (ESB) 2016/679 gildir um vinnslu persónuupplýsinga á samfélagsmiðlum með sama hætti og annars konar vinnslu.
58. Í framhaldi af breytingum á lögum nr. 162/2006 með lögum nr. 109/2021 settu umrædd átta stjórnmálasamtök sér sameiginlegar verklagsreglur um vinnslu persónuupplýsinga á samfélagsmiðlum í tengslum við almennar kosningar, þ.e. 24. ágúst 2021 svo sem fyrr greinir. Þar er útfært hvernig fara skuli að áliti Persónuverndar 5. mars 2020, m.a. hvað snertir fræðslu til þeirra sem auglýsingum er beint til, sbr. umfjöllun í efnisgrein 4, og jafnframt er áréttað bann samkvæmt 2. gr. b í lögum nr. 105/2021 við að letja kjósendur til að neyta kosningaréttarins og til að notast við persónusnið í andstöðu við lýðræðisleg gildi. Hvað síðarnefnda atriðið snertir segir að nýting persónusniða til að afmarka hópa kjósenda, sem skilaboðum er beint til, skuli vera sanngjörn gagnvart þeim. Þá segir varðandi sama atriði að hópar skuli ekki afmarkaðir með afar ítarlegum hætti, að upplýsingar skuli ekki unnar um þá sem eru skráðir vinir viðkomandi notanda á samfélagsmiðli og að ekki skuli byggt á sniði sem má ætla að sé almennt í ósamræmi við væntingar viðkomandi kjósenda, t.d. þegar það sem afmarkar hópinn er ekki byggt á upplýsingum sem viðkomandi notendur hafa sjálfir látið af hendi heldur ályktunum sem viðkomandi samfélagsmiðill dregur af hegðun þeirra, innan og utan miðilsins.
    
    

    Niðurstaða

59. Af svörum stjórnmálasamtakanna átta sem hér um ræðir, þ.e. þeirra sem náðu kjöri á þing í alþingiskosningunum 25. september 2021, verður ráðið að þau hafi að mestu leyti notast við upplýsingar almenns eðlis til að ná til kjósenda í aðdraganda þeirra kosninga.
60. Frá þessu er þó ein veigamikil undantekning, en eins og fram kemur í svörum Samfylkingarinnar notaðist hún við fjölmargar breytur á Facebook sem byggðust á áhugamálum einstaklinga. Þá beindi hún auglýsingum til þeirra sem höfðu líkað við tiltekið efni á samfélagsmiðlum, samhliða heimsókn á vefsíðu flokksins eða áhorfi á myndbönd hans, svo og fólks sem taldist líkjast þeim hópi.
61. Auk Samfylkingarinnar notaðist Viðreisn við upplýsingar af þessum toga, þ.e. með sendingu auglýsinga til þeirra sem höfðu líkað við flokkinn á Facebook og Instagram og heimsótt vefsíðu hans, svo og til vina umræddra Facebook-notenda á miðlinum og þeirra sem voru taldir líkjast þeim.
62. Þegar framangreindu sleppir var eingöngu notast við aldursbil og grófa staðsetningu við afmörkun markhópa á samfélagsmiðlum, en m.a. verður ráðið af fram komnum svörum að ekkert stjórnmálasamtakanna átta hafi sent upplýsingar um skráða félaga til slíkra miðla. Jafnframt má nefna að samkvæmt skýringum Miðflokksins hugðist hann notast við upplýsingar um tiltekið áhugamál við afmörkun markhóps á Facebook en hvarf svo frá því þar sem einstaklingar á Íslandi voru ekki skráðir með þetta áhugamál. Þá skal tekið fram að skilja ber skýringar Miðflokksins, hvað snertir sendingu myndbanda til einstaklinga í tilteknum markhópi sem þegar höfðu horft á myndbönd sem send voru á hópinn, sem lýsingu á almennu verklagi á Facebook óháð séróskum viðkomandi auglýsanda.
63. Að auki bera svör stjórnmálasamtakanna með sér að einstaklingum hafi verið veitt fræðsla um vinnslu persónuupplýsinga í tengslum við sendingu auglýsinga. Má þar nefna að öll samtökin nema Flokkur fólksins birtu persónuverndarstefnu inni á vefsíðu sinni sem unnt var að nálgast með hlekk inn á vefsíðuna í auglýsingum. Þá liggur fyrir að notast var við þau úrræði sem samfélagsmiðlar hafa útbúið til að koma fræðslu á framfæri. Skal tekið fram í þessu samhengi að miðað við gögn um fræðsluna, m.a. það sem greinir um notkun staðlaðs fyrirkomulags hjá Facebook í efnisgrein 64, gættu öll stjórnmálasamtökin að andmælarétti vegna beinnar markaðssetningar, sbr. hér 2. mgr. 21. gr. reglugerðar (ESB) 2016/679. Þá verður ráðið af gögnum málsins að ekki hafi verið send skilaboð með hvatningu um að nýta ekki kosningaréttinn, sbr. 3. tölul. 2. gr. b í lögum nr. 162/2006.
64. Hvað snertir fræðslu, sem kjósendum var veitt um vinnslu persónuupplýsinga í tengslum við auglýsingar stjórnmálasamtaka, má sérstaklega líta til notkunar staðlaðs verklags Facebook vegna slíkra auglýsinga. Verður ráðið af svörum allra flokkanna að notast hafi verið við þetta verklag, en það felur í sér að smella má á þar til gerðan hnapp til að fá fræðslu um markhópinn sem auglýsingin er send til og afþakka frekari auglýsingar, auk þess sem auglýsingarnar eru merktar sem stjórnmálaauglýsingar og sem keyptar af viðkomandi auglýsanda. Tekið skal fram að þetta er lagt til grundvallar óháð því hvort þessu fyrirkomulagi sé nákvæmlega lýst af hálfu hvers og eins flokks, enda má telja ljóst að með notkun fyrirkomulagsins sé sjálfgefið að allir umræddir þættir þess séu nýttir. Þá liggur fyrir að auk upplýsinga á Facebook var veitt fræðsla á öðrum þeim samfélagsmiðlum sem notast var við.
65. Hvað viðvíkur því að eingöngu hafi verið notast við mjög almennar breytur er það einkum Samfylkingin sem sker sig úr svo sem fyrr greinir, þ.e. með notkun á skráðum áhugamálum Facebook-notenda. Liggur fyrir að þar var m.a. um að ræða skilgreiningar miðilsins á viðkomandi notendum út frá netnotkun þeirra og er því ljóst að um nokkuð nærgöngula vinnslu var að ræða. Hið sama verður talið eiga við um aðra notkun flokksins á upplýsingum um netnotkun, þ.e. um einstaklinga sem líkað höfðu við tiltekið efni á samfélagsmiðlum, samhliða heimsókn á vefsíðu flokksins eða áhorfi á myndbönd hans, svo og þá sem voru taldir líkjast þeim hópi, þ.e. tilheyrðu svonefndum líkindahópum.
66. Framangreint á einnig við um notkun Viðreisnar á upplýsingum um þá sem líkað höfðu við flokkinn á Facebook og Instagram og heimsótt vefsíðu hans, sem og vini umræddra Facebook-notenda og þá sem svipaði til þeirra á miðlinum og féllu þannig innan líkindahóps.
67. Með vísan til þess sem rakið er í efnisgreinum 63 og 64 telur Persónuvernd fræðslu í tengslum við auglýsingar stjórnmálasamtaka á samfélagsmiðlum að mestu ekki gefa tilefni til sérstakra athugasemda. Má enda telja ljóst að samtökin hafi í flestum atriðum gert viðeigandi ráðstafanir til að koma fræðslu til skila, m.a. með notkun á fyrrnefndu verklagi Facebook og með því að gera persónuverndarstefnu sína aðgengilega. Í því sambandi má þó gera athugasemd við að fyrir alþingiskosningar 2021 hafði Flokkur fólksins ekki birt persónuverndarstefnu sína og gerðist það ekki fyrr en nokkru síðar.
68. Þá skal tekið fram að óháð fræðslu með viðeigandi upplýsingum í persónuverndarstefnu og birtum auglýsingum verður að skoða hvort samfélagsmiðlanotendur hafi getað gert sér grein fyrir því fyrirfram að upplýsingar um netnotkun þeirra kynnu að verða notaðar í þágu pólitískrar markaðssetningar. Svo sem greinir í efnisgrein 50 er þar um að ræða afleiddar upplýsingar af virkni notenda samfélagsmiðla sem geta m.a. veitt vísbendingu um stjórnmálaviðhorf og því falið í sér viðkvæmar persónuupplýsingar. Jafnframt verður einkum talið að samþykki geti komið til greina sem heimild fyrir vinnslu þeirra upplýsinga, svo og fyrir notkun upplýsinga um nethegðun í þágu markaðssetningar almennt. Vegna vankanta á fræðslu getur samþykki talist ógilt og verður ábyrgðaraðili að gæta að kröfum í þeim efnum.
69. Af þessu leiðir að stjórnmálasamtök, sem bera ábyrgð á vinnslu persónuupplýsinga á samfélagsmiðli, geta ekki vísað alfarið til sameiginlegrar ábyrgðar sem viðkomandi miðill ber á vinnslunni ásamt samtökunum, sbr. umfjöllun í efnisgrein 48, en í svörum sem borist hafa í tengslum við þetta er einatt vísað til notendaskilmála á slíkum miðlum og virðist gert ráð fyrir að í ljósi þeirra þurfi ekki að huga að frekari atriðum í tengslum við öflun fullnægjandi heimildar til vinnslu.
70. Jafnframt skal tekið fram að eins og greinir í efnisgrein 53 hefur verið til úrlausnar hjá írsku persónuverndarstofnuninni hvort með skilmálum Meta, eiganda og rekstararaðila Facebook og Instagram, sé aflað fullnægjandi samþykkis einstaklinga fyrir beinni markaðssetningu, en ekki hefur enn verið komist að niðurstöðu þar um. Leggja verður til grundvallar að í ljósi stöðu írsku stofnunarinnar sem forystuyfirvalds í málinu muni úrlausn hennar hafa fordæmisgildi við túlkun í þessu sambandi, þ. á m. hvort gætt sé gagnsæis gagnvart hinum skráða við öflun samþykkis og meðalhófs í ljósi þess, en í ákvörðun Evrópska persónuverndarráðsins nr. 1/2023 er sérstaklega vísað til málsmeðferðar hennar hvað umrætt samþykki snertir svo sem fyrr greinir. Þá verður það talið orka tvímælis að byggja hér á samþykki sem vinnsluheimild á meðan úrlausn forystuyfirvaldsins liggur enn ekki fyrir.
71. Að þessu öllu virtu, þ. á m. kröfum um fræðslu og gagnsæi, telur Persónuvernd ekki unnt að byggja á að samþykki hafi legið til grundvallar notkun Samfylkingarinnar, og að nokkru Viðreisnar, á hinum nærgöngulli breytum á Facebook, sbr. efnisgreinar 28-30, 35, 60-61 og 65-66. Þá skal tekið fram að samþykki telst eina vinnsluheimildin sem hér hafi komið til greina.
72. Tekið skal fram í þessu sambandi að í lögum er að finna sérstakt ákvæði um notkun stjórnmálasamtaka á persónusniðum, þess efnis að hún megi ekki fela í sér hvatningu til að láta ógert að kjósa, svo og að hún skuli samrýmast lýðræðislegum gildum, sbr. 3. tölul. 2. gr. b í lögum nr. 162/2006.
73. Fram hefur komið að ekki voru birtar auglýsingar með hvatningu eins og fyrr greinir. Í ljósi vafa um samþykki sem fullnægjandi vinnsluheimild, samhliða nærgöngulu eðli þeirrar vinnslu sem hér um ræðir, reynir hins vegar einnig á hvort lýðræðisleg gildi hafi verið virt. Á það reynir að sama skapi hvort gætt hafi verið meðalhófs við vinnsluna, einkum umfang hennar í ljósi þeirra væntinga sem hinir skráðu gátu haft í ljósi gagnsæis og fræðslu í tengslum við hinar nærgöngulli breytur. Skal sérstaklega minnt á í því sambandi að í verklagsreglum umræddra átta stjórnmálasamtaka frá 24. ágúst 2021, sbr. efnisgrein 58, er gert ráð fyrir að slíkar breytur séu ekki nýttar.
74. Hugtakið lýðræðisleg gildi kemur ekki fyrir í lögum nr. 90/2021 og reglugerð (ESB) 2016/679. Telur Persónuvernd óvarlegt að byggja notkun valdheimilda samkvæmt þeirri löggjöf á því hugtaki, þ. á m. beitingu viðurlagaheimilda samkvæmt 46. og 47. gr. laganna, sbr. 83. reglugerðarinnar. Öðru máli gegnir hins vegar um það þegar brotið er gegn skilyrðum persónuverndarlöggjafarinnar fyrir samþykki, sbr. 1. tölul. 3. mgr. 46. gr. laganna og a-lið 5. mgr. reglugerðarákvæðisins. Þar sem ekki verður, vegna þess máls sem til meðferðar er hjá írsku persónuverndarstofnuninni, komist að afdráttarlausri niðurstöðu um það atriði reynir hér ekki á beitingu valdheimilda Persónuverndar í því sambandi. Á það við að því marki sem reynir á gagnsæi við vinnsluna, en einnig hvað snertir meðalhóf í ljósi þeirra væntinga sem skráðir einstaklingar gátu haft.
    
    

    Samandregin niðurstaða

75. Í ljósi alls framangreinds eru meginniðurstöður Persónuverndar, hvað snertir afmörkun markhópa við sendingu auglýsinga fyrir alþingiskosningar 2021, sem hér greinir:
    
    · Almennt notuðust stjórnmálasamtök eingöngu við breytur mjög almenns eðlis, þ.e. aldursbil og grófa staðsetningu.
    
    · Einn flokkur, þ.e. Samfylkingin, skar sig þó úr með víðtækri notkun persónusniða á grundvelli skráningar Facebook á áhugamálum notenda. Þá sendi hún auglýsingar á þá sem líkað höfðu við tiltekið efni á samfélagsmiðlum, samhliða heimsókn á vefsíðu flokksins eða áhorfi á myndbönd hans, svo og þá sem álitnir voru líkjast þeim hópum.
    
    · Jafnframt notaðist Viðreisn við upplýsingar um þá sem líkað höfðu við flokkinn á Facebook og Instagram og heimsótt vefsíðu hans, sem og vini umræddra Facebook-notenda og þá sem svipaði til þeirra á miðlinum.
    
    · Ekki verður á því byggt að hjá umræddum flokkum hafi legið fyrir samþykki hinna skráðu í samræmi við gagnsæiskröfur, en einnig verður hér að líta til nærgönguls eðlis umræddrar vinnslu. Að þessu virtu, svo og kröfu um að notkun persónusniða samrýmist lýðræðislegum gildum, reynir jafnframt á hvort meðalhófs hafi verið gætt.
    
    · Í ljósi þess að á samevrópskum vettvangi er enn beðið úrlausnar, sem skipta mun máli í þessu samhengi, gefst hins vegar ekki tilefni til beitingar valdheimilda Persónuverndar.
    
    

    Áminning vegna komandi kosninga

76. Nú liggur fyrir að alþingiskosningar fara fram í lok næsta mánaðar, nóvember 2024. Af því tilefni vill Persónuvernd sérstaklega minna á eftirfarandi:
    
    · Brýnt er að farið sé að þeim sjónarmiðum sem lýst er í áliti þessu og áður hafa komið fram, sbr. m.a. álit stofnunarinnar 5. mars 2020 (mál nr. 2020010116 hjá stofnuninni), hvað snertir nálgun við kjósendur á slíkum miðlum. Þarf m.a. að fylgja sameiginlegum verklagsreglum stjórnmálasamtaka til að tryggja gagnsæi við vinnslu persónuupplýsinga á samfélagsmiðlum vegna kosninga, hafa tilvísun til viðeigandi fræðslu í auglýsingum og tryggja að auglýsingastofur og greiningaraðilar gæti einnig þeirra sjónarmiða sem hér hafa verið rakin, sbr. nánari umfjöllun í efnisgrein 4.
    
    · Framangreint er óháð því hvaða samfélagsmiðlar eru notaðir hverju sinni. Komið hafa fram á sjónarsviðið nýir slíkar miðlar og má þar nefna Tik Tok sem ekki var nýttur til auglýsinga í tengslum við alþingiskosningarnar 2021 en hefur síðan notið sívaxandi vinsælda, einkum meðal yngra fólks. Öll þau sjónarmið sem hér hafa verið rakin eiga við um þann miðil með sama hætti og aðra samfélagsmiðla, þ. á m. Facebook, sem hingað til hefur mest verið notað af almenningi og við afmörkun markhópa við birtingu auglýsinga fyrir tilteknum einstaklingum á Netinu.

 

Persónuvernd, 22. október 2024

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir                   Björn Geirsson

Vilhelmína Haraldsdóttir                 Þorvarður Kári Ólafsson