Personuppgiftsansvarig (TTPA-sammanhang)

En personuppgiftsansvarig är den person eller organisation som bestämmer ändamålen med och medlen för behandling av personuppgifter i samband med politisk annonsering. Enligt TTPA-förordningen och GDPR har den personuppgiftsansvarige det primära ansvaret för att säkerställa efterlevnad av dataskyddsregler när personuppgifter används för riktning eller leverans av politiska annonser.

Rättslig grund

"Personuppgiftsansvarig" avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

— Artikel 4(7), förordning (EU) 2016/679 (GDPR), tillämplig i TTPA-sammanhang

TTPA-förordningen bygger på GDPR:s definition av personuppgiftsansvarig när den behandlar användningen av riktningstekniker och annonsutleveranstekniker som bygger på personuppgifter i politisk annonsering.

Varför det spelar roll

Rollen som personuppgiftsansvarig är avgörande inom politisk annonsering eftersom den bestämmer vem som bär det rättsliga ansvaret för efterlevnad av dataskydd. När ett politiskt parti, en kandidat eller en kampanjorganisation använder personuppgifter för att rikta onlineannonser mot väljare, agerar de vanligtvis som personuppgiftsansvarig—även om de anlitar en byrå eller använder en plattform för att leverera dessa annonser.

Detta spelar roll eftersom personuppgiftsansvariga måste säkerställa att de har en giltig rättslig grund för behandling av personuppgifter (såsom samtycke), implementera lämpliga säkerhetsåtgärder och respektera individers rättigheter enligt GDPR. Klagomål om missbruk av personuppgifter vid riktad politisk annonsering går till dataskyddsmyndigheter, som kommer att kräva svar från den personuppgiftsansvarige.

För onlineplattformar och annonsteknikföretag är det väsentligt att förstå huruvida de agerar som personuppgiftsansvariga eller personuppgiftsbiträden. Om en plattform endast följer instruktioner från en politisk annonsör kan den vara ett personuppgiftsbiträde. Men om den fattar egna beslut om hur personuppgifter ska användas för annonsutleverans kan den vara personuppgiftsansvarig eller gemensamt personuppgiftsansvarig, med motsvarande skyldigheter.

Viktiga punkter

Beslutsfattande makt: Den personuppgiftsansvarige bestämmer varför och hur personuppgifter ska behandlas för politiska annonseringsändamål
Primärt ansvar: Personuppgiftsansvariga bär det huvudsakliga rättsliga ansvaret för GDPR-efterlevnad när riktningstekniker använder personuppgifter
Samtyckeskrav: Personuppgiftsansvariga måste inhämta giltigt samtycke eller fastställa en annan laglig grund innan personuppgifter behandlas för politisk annonsriktning
Gemensamt personuppgiftsansvariga: Flera parter (t.ex. en kampanj och en byrå) kan vara gemensamt personuppgiftsansvariga om de gemensamt bestämmer ändamål och medel
Plattformens roll: Plattformar kan agera som personuppgiftsansvariga, personuppgiftsbiträden eller gemensamt personuppgiftsansvariga beroende på deras beslutsfattande auktoritet
DPA-verkställighet: Dataskyddsmyndigheter riktar klagomål och verkställighetsåtgärder främst mot personuppgiftsansvariga

Personuppgiftsansvarig kontra personuppgiftsbiträde

En personuppgiftsansvarig bestämmer "varför" och "hur" databehandlingen ska ske, medan ett personuppgiftsbiträde agerar på uppdrag av den personuppgiftsansvarige och följer deras instruktioner. Inom politisk annonsering är en kampanj som beslutar att rikta väljare baserat på ålder och plats den personuppgiftsansvarige. En annonsbyrå som helt enkelt genomför den riktningsstrategin enligt instruktioner är ett personuppgiftsbiträde.

Skillnaden spelar roll för ansvaret: personuppgiftsansvariga har direkta skyldigheter enligt GDPR, medan personuppgiftsbiträden har sekundära skyldigheter och måste följa den personuppgiftsansvariges instruktioner. Däremot kan plattformar som använder egna algoritmer för att optimera annonsutleverans övergå från personuppgiftsbiträde till personuppgiftsansvarig eller gemensamt personuppgiftsansvarig, och därmed dela ansvaret för efterlevnad.

Aspekt	Personuppgiftsansvarig	Personuppgiftsbiträde
Beslutsauktoritet	Bestämmer ändamål och medel	Följer instruktioner
Rättsliga skyldigheter	Direkta GDPR-skyldigheter	Sekundära skyldigheter
Exempel i politiska annonser	Politiskt parti som beslutar om riktningsstrategi	Byrå som genomför kampanj enligt instruktioner

Relaterade termer

Krav på transparens säkerställer att alla politiska aktörer verkar enligt samma regler. Väljare kan se vem som har resurser och hur de används, vilket stödjer rättvis konkurrens.

Öppenhet skapar förtroende genom att visa väljarna att politiska aktörer agerar öppet. Dold finansiering eller målgruppsanpassning urholkar förtroendet för demokratiska processer.

Genom att kräva tydlig märkning och tillgänglig transparensinformation hjälper TTPA människor att känna igen politisk annonsering och förstå vem som försöker påverka dem.

Unga personer kan ännu inte rösta men kan riktas till för att påverka framtida beteende eller manipulera familjemedlemmar. Förbudet skyddar minderåriga från politisk exploatering.

Politisk reklam omfattar alla betalda budskap som marknadsför en politisk aktör, påverkar röstningsbeteende, påverkar utgången av val eller folkomröstningar, eller påverkar lagstiftnings- eller regleringsprocesser. Det inkluderar även all reklam från eller på uppdrag av en politisk aktör.

Nej. TTPA påverkar inte nationella regler om innehållet i politiska annonser, kampanjfinansiering, valperioder eller generella förbud mot politisk reklam. Den lägger till transparenskrav utöver befintliga nationella lagar.

Det officiella namnet är Europaparlamentets och rådets förordning (EU) 2024/900 om öppenhet och inriktning av politisk reklam. Den publicerades den 20 mars 2024.

Ja. TTPA omfattar all politisk reklam, oavsett om den är online eller offline, inklusive tryckta medier, digitala skyltar, TV, radio och digitala kanaler. Inriktningsreglerna i kapitel III gäller endast för onlinereklam.