GDPR-tip: Må jeg bruge personoplysninger fra sociale medier i forskning?

Må jeg indsamle personoplysninger, som er delt på sociale medier? Og er der forskel på, hvad jeg må indsamle på de forskellige sociale medier? Svarene er ikke helt enkle, og det kræver god forberedelse, inden du begynder at indsamle data fra sociale medier til din forskning.

Sociale medier som Facebook, LinkedIn og Twitter er fyldt med data, som kan være guld værd i et forskningsprojekt. Fx er personoplysninger som alder, køn, uddannelse og politisk eller religiøs overbevisning ofte frit til gængelige på sociale medier.

Det kan være nærliggende at tro, at når personer selv har valgt at offentliggøre disse oplysninger, så er de ikke længere omfattet af reglerne om databeskyttelse. Men sådan er det ikke. Hos AU’s databeskyttelsesenhed er det et tilbagevendende spørgsmål, hvordan man skal behandle personoplysninger indsamlet på sociale medier. 

Databeskyttelsesrådgiver Søren Broberg Nielsen slår fast, at uanset om en personoplysning er offentligt tilgængelig eller ej, skal den altid behandles efter databeskyttelsesreglerne.

Fakta: Forskning og GDPR

AU’s websider om GDPR til forskere indeholder nyttige informationer om, hvordan du sikrer personoplysninger i dine forskningsprojekter. I løbet af efteråret sætter AU’s databeskyttelsesenhed fokus på forskellige aspekter af GDPR gennem forskeres dilemmaer og erfaringer, når de arbejder med GDPR. Denne gang handler det om indsamling af personoplysninger og sociale medier.

Tænk dig om, inden du indsamler 

”Det betyder, at man skal gøre sig nogle grundige overvejelser, allerede inden man går i gang med sit forskningsprojekt. Man skal fx sikre sig et lovligt behandlingsgrundlag, man skal overholde kravene til, hvordan personoplysninger bliver opbevaret, og man skal overholde sin oplysningspligt over for de personer, som får behandlet deres oplysninger,” siger Søren Broberg Nielsen og bemærker, at reglerne er generelle og ikke begrænser sig til sociale medier. 

Læs mere om behandlingsgrundlag og oplysningspligt på AU’s GDPR-sider til forskere.

Professor: Lukkede grupper er ikke lukket land

Institut for Kommunikation og Kultur er et af de steder, hvor sociale medier ofte inddrages i forskningen. Her er Niels Brügger er professor i medievidenskab, hvor han bl.a. forsker i internettets historie. Han har stor erfaring med dataindsamling fra digitale medier, og derfor er han blevet en person, som kollegaer går til for gode råd. Et ofte stillet spørgsmål handler om, hvorvidt man må indsamle personoplysninger fra eksempelvis lukkede grupper på Facebook, hvor der er begrænsning på, hvem der kan få adgang. 

”I princippet må man godt, hvis man altså kan få adgang til dem. Men man skal stadig sikre sig et lovligt behandlingsgrundlag og overholde oplysningspligten. Det er fx ikke nok, at man får et samtykke til sin indsamling fra en administrator af eksempelvis en lukket Facebook-gruppe. Udover at overholde databeskyttelsesreglerne bør man også gøre sig forskningsetiske overvejelser, hvis man indsamler fra lukkede fora, for man kan støde på ytringer, som åbenlyst ikke er beregnet til at blive offentliggjort,” siger Niels Brügger. 

AU’s GDPR-sider til forskere kan du læse mere om, hvad du som forsker bør lægge vægt på i en vurdering af, hvordan du skal behandle oplysninger indsamlet fra lukkede grupper.

Fakta: GDPR og sociale medier

Vær også opmærksom på sociale mediers Terms of Service 

Bruger man personoplysninger fra sociale medier i sin forskning er det dog ikke nok at sætte sig godt ind i databeskyttelsesreglerne. Som forsker bør man også altid sætte sig ind i det enkelte sociale medies Terms of Service. Man skal altid overholde databeskyttelsesreglerne, men derudover har nogle sociale medier i deres Terms of Service fx indskrevet begrænsninger for samtykke eller opbevaring af personoplysninger, der er mere restriktive end databeskyttelsesreglerne. 

”Hvis man skal tage Twitter som et eksempel, så har de skrevet i deres terms of service, at man ikke må indsamle fx 100 tweets og offentliggøre dem. Det, man må offentliggøre, er ID-nummeret på hvert enkelt tweet,” siger Niels Brügger.

Se mere om GDPR og sociale medier på AU’s GDPR-sider til forskere.