Personuppgiftsbiträde

Ett personuppgiftsbiträde är en enhet som behandlar personuppgifter för och enligt instruktioner från en personuppgiftsansvarig. I samband med politisk annonsering hanterar biträden personuppgifter för inriktnings- eller annonsleveransändamål men beslutar inte hur eller varför uppgifterna används. Den personuppgiftsansvarige förblir ytterst ansvarig för laglig behandling.

Rättslig grund

"Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning."

— Artikel 4.8, förordning (EU) 2016/679 (GDPR)

Även om förordning (EU) 2024/900 inte definierar personuppgiftsbiträde hänvisar den till dataskyddslagstiftning och tilldelar specifika skyldigheter till personuppgiftsansvariga och biträden när personuppgifter används för att rikta politisk annonsering online.

Varför det spelar roll

Att förstå rollen som personuppgiftsbiträde är avgörande för efterlevnad av både GDPR och förordningen om politisk annonsering. När ett politiskt parti, en kampanj eller en annonsör använder en onlineplattform, ett reklamteknikleverantör eller ett analysföretag för att leverera riktad politisk annonsering agerar leverantören vanligtvis som biträde. Annonsören eller den politiska aktören förblir personuppgiftsansvarig och måste säkerställa att biträdet uppfyller alla rättsliga krav.

Biträden måste implementera lämpliga tekniska och organisatoriska åtgärder, bistå personuppgiftsansvariga med att uppfylla sina skyldigheter (såsom att svara på begäranden från registrerade) och endast behandla uppgifter enligt dokumenterade instruktioner. De kan inte använda personuppgifter för sina egna ändamål. Om ett biträde fastställer sina egna ändamål för behandling blir det en personuppgiftsansvarig och åtar sig fullt ansvar enligt dataskyddslagstiftningen.

För politisk annonsering är denna åtskillnad viktig eftersom inriktning med hjälp av personuppgifter är kraftigt begränsad enligt kapitel III i förordning (EU) 2024/900. Personuppgiftsansvariga måste säkerställa att deras biträden följer begränsningar för inriktning, samtyckesskrav och förbud mot att använda vissa känsliga uppgiftskategorier.

Viktiga punkter

Agerar enligt instruktioner: Biträden hanterar personuppgifter endast enligt anvisningar från den personuppgiftsansvarige; de kan inte besluta hur eller varför uppgifter behandlas.
Förblir ansvarig: Personuppgiftsansvariga är ytterst ansvariga för att säkerställa att biträden följer GDPR och regler för politisk annonsering.
Skriftliga avtal krävs: Personuppgiftsansvariga måste ha ett avtal eller en rättsakt på plats med biträden som specificerar behandlingsvillkor, säkerhetsåtgärder och skyldigheter.
Bistår med efterlevnad: Biträden måste hjälpa personuppgiftsansvariga att svara på begäranden om registrerades rättigheter, genomföra konsekvensbedömningar och rapportera dataintrång.
Kan bli personuppgiftsansvarig: Om ett biträde fastställer ändamål och medel för behandling omklassificeras det som personuppgiftsansvarig med fullt juridiskt ansvar.
Specifika regler för inriktning: När biträden levererar riktad politisk annonsering online måste de följa kapitel III:s begränsningar och kan inte använda särskilda kategorier av uppgifter för inriktningsändamål.

Personuppgiftsbiträde vs. personuppgiftsansvarig

En personuppgiftsansvarig fastställer ändamålen och medlen för behandling av personuppgifter—beslutar vilka uppgifter som ska samlas in, hur de ska användas och varför. Ett personuppgiftsbiträde agerar endast enligt den personuppgiftsansvariges instruktioner och fattar inte dessa beslut.

Inom politisk annonsering är ett politiskt parti som beslutar att driva en riktad annonskampanj den personuppgiftsansvarige. Den sociala medieplattformen eller reklamteknikstjänsten som levererar dessa annonser enligt partiets instruktioner är biträdet. Om plattformen också använder uppgifterna för sina egna ändamål (t.ex. för att förbättra sin rekommendationsalgoritm) agerar den som personuppgiftsansvarig för det separata ändamålet.

Åtskillnaden är avgörande eftersom personuppgiftsansvariga och biträden har olika skyldigheter enligt GDPR, och ansvaret för bristande efterlevnad vilar ytterst på den personuppgiftsansvarige.

Relaterade termer

Krav på transparens säkerställer att alla politiska aktörer verkar enligt samma regler. Väljare kan se vem som har resurser och hur de används, vilket stödjer rättvis konkurrens.

Öppenhet skapar förtroende genom att visa väljarna att politiska aktörer agerar öppet. Dold finansiering eller målgruppsanpassning urholkar förtroendet för demokratiska processer.

Genom att kräva tydlig märkning och tillgänglig transparensinformation hjälper TTPA människor att känna igen politisk annonsering och förstå vem som försöker påverka dem.

Unga personer kan ännu inte rösta men kan riktas till för att påverka framtida beteende eller manipulera familjemedlemmar. Förbudet skyddar minderåriga från politisk exploatering.

Politisk reklam omfattar alla betalda budskap som marknadsför en politisk aktör, påverkar röstningsbeteende, påverkar utgången av val eller folkomröstningar, eller påverkar lagstiftnings- eller regleringsprocesser. Det inkluderar även all reklam från eller på uppdrag av en politisk aktör.

Nej. TTPA påverkar inte nationella regler om innehållet i politiska annonser, kampanjfinansiering, valperioder eller generella förbud mot politisk reklam. Den lägger till transparenskrav utöver befintliga nationella lagar.

Det officiella namnet är Europaparlamentets och rådets förordning (EU) 2024/900 om öppenhet och inriktning av politisk reklam. Den publicerades den 20 mars 2024.

Ja. TTPA omfattar all politisk reklam, oavsett om den är online eller offline, inklusive tryckta medier, digitala skyltar, TV, radio och digitala kanaler. Inriktningsreglerna i kapitel III gäller endast för onlinereklam.