1.png

Nye regler fra EU: Dette må du vite dersom du driver en Facebook-side

Skrevet av Steinar Fosback 28. august 2018

Bruker du retargeting i markedsføringen din? Etter nye regler fra EU, har Facebook-administratorer nå et vesentlig større ansvar. Her får du informasjon om hva du selv er ansvarlig for – og hvilke standpunkter Optimal Norge tar i denne forbindelsen.

5. juni 2018 bestemte EU-domstolen at dersom du er administrator av en Facebook-side skal du også anses som behandlingsansvarlig, sammen med Facebook. Dette betyr at du er pliktet til å følge Personopplysningsloven dersom du skal markedsføre på en Facebook-side. Med andre ord har alle som besøker din side på Facebook, krav på å få vite hvordan du behandler deres personopplysninger.

Optimal Norge har selvfølgelig lagt seg etter disse nye reglene, og vi anbefaler alle våre kunder å gjøre det samme. Nye regler kan være tunge å sette seg inn i, og vi har forståelse for at dette kan virke komplisert. Likevel er det viktig å følge EUs nye retningslinjer. Her får du en innføring i hva de nye reglene betyr for deg.

Personvernerklæring på Facebook

Det skal være enkelt å finne ut hvilke retningslinjer ulike bedrifter har når det kommer til personvern, også på Facebook. Vi oppfordrer deg derfor til å sørge for at din Facebook-side har klare og tydelige retningslinjer for alle som besøker siden. Slik gjør du det: Gå inn på «Om oss»-siden og legg inn en lenke til «retningslinjer for personvern». Er du usikker på hvordan det skal gjøres? Ta en titt på vår Facebook-side dersom du står fast. Her ser du en tydelig lenke til vår side vedrørende personvern.

Databehandlingsavtale

Dette vil si at vi kun behandler våre kunders data, mens kundene selv er behandlingsansvarlige. Vi kommer tilbake til hva det innebærer å være behandlingsansvarlig senere. Vi vil fortløpende ta kontakt med deg for å informere om databehandleravtalen vi nå innfører. Her vil vi snart komme med utfyllende informasjon om hva dette vil innebære for deg.

Pikselbasert retargeting

Pikselbasert retargeting kan skje på to måter. Den ene måten er at pikselen (en kodesnutt) på en nettside setter en informasjonskapsel i nettleseren (ved bruk av script). Det kan også skje ved at pikselen bruker en eksisterende ID. Slik gir pikselen nettleseren et unikt ID-nummer. Dette ID-nummeret legges i en liste over personer som har besøkt nettsiden.

Listen over disse ID-numrene deles fortløpende med det valgte annonsenettverket (for eksempel Google Displaynettverk). I praksis betyr dette at en bruker som for eksempel har sett på sko i en nettbutikk, vil få presentert annonser fra den samme nettbutikken på andre sider vedkommende besøker.

Dersom personen, som er identifisert med et ID-nummer i nettleseren, besøker en nettside hvor annonsenettverket tilbyr sine annonser, vil nettverket med andre ord benytte ID-en til å tilpasse markedsføringen.

Det finnes tre måter å identifisere brukeren som får tildelt et slikt ID-nummer:

  1. Nettstedet vil kunne registrere hvilken IP-adresse som får tildelt ID-en.
  2. Når brukeren gjennomfører en handel på nettsiden, vil pikselen tilknyttes handelsopplysninger (navn, adresse) som gir mulighet til å identifisere en person.
  3. Når brukeren er medlem av annonsenettsted (som f.eks. Google), vil nettverket kunne koble ID-nummeret med andre cookies som identifiserer at personen er medlem (f.eks. for auto-innlogging)

2

Så lenge ID-en ikke kan knyttes til en person, direkte eller indirekte, vil ikke ID-en være en personopplysning. Dersom ID-listen indirekte kan tilkobles en IP-adresse, personopplysninger i forbindelse med en handel, eller identifiseres av annonseringsnettverk derimot, vil ID-en kunne kobles til en person. Da må pikselen anses som en personopplysning.

I tillegg nevnes «identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator» som eksempler på personopplysninger i GDPR art. 4 (1).

Går vi ut fra at både annonseringsnettstedene og kjøperen av pixelbasert retargeting er behandlingsansvarlige, vil delt behandling finne sted. Overføring av personopplysninger til annonseringsnettstedende vil da anses som en behandling av personopplysninger. For å kunne behandle personopplysninger må det, ifølge GDPR, foreligge et behandlingsgrunnlag. Slike grunnlag er listet opp i GDPR art. 6 og 9.

Behandlingen kan neppe sies å være nødvendig for å gjennomføre en avtale med den registrerte, da en avtale oftest ikke er inngått. Det er også høyst usikkert om man kan si at nettsideeieren eller annonsenettverket har berettiget interesse til en så vidtgående markedsføring som retargeting utgjør.

Vi kan dermed ikke se at noe annet behandlingsgrunnlag enn samtykke kan være aktuelt ved retargeting. Samtykket må etter GDPRs bestemmelser være frivillig. Dette innebærer at:

  1. Nettsideeierne og/eller annonsenettverket må innhente samtykke for begges behandling, og at
  2. den registrerte når som helst skal kunne trekke tilbake eventuelle samtykker.

Profilering. I tillegg er det vår vurdering at direkte markedsføring ved retargeting vil være profilering etter GDPR art. 4 (4) jf. art. 22: Formålet med retargeting er nemlig å registrere personlige forhold og handlemønsteret til enkeltpersoner på nett, for å kunne benytte denne informasjonen til en målrettet markedsføring. En slik profilering har brukeren rett til å protestere mot og nekte videre behandling. Rettighetene skal nettsideeierne informere tydelig om. Fordi vi over konkluderte med at samtykke må innhentes for retargeting, vil det i praksis være enklest om informasjon og samtykkeinnhenting kombineres.

Selv om vi forutsetter at annonsenettverket har innhentet et gyldig samtykke fra sine brukere til retargeting, vil brukeren alltid vil ha en rett til å trekke sitt samtykke tilbake. Derfor må nettsideeieren passe på at Google (eller tilsvarende) har mekanismer som gjør at de på piksel-listen som trekker samtykket sitt, blir fjernet fra annonsenettverkets liste, slik at annonseringen opphører. Tilsvarende må annonsenettverket, i den grad det baserer seg på samtykke, enkelt tilby tilbaketrekning av samtykket.

3

Budskap til deg som kunde

For oss i Optimal Norge blir det sentrale å gjøre det klart for deg som kunde at:

  1. kunden som eier av nettsiden er behandlingsansvarlig,
  2. personopplysninger ikke kan behandles uten behandlingsgrunnlag,
  3. kunden som behandlingsansvarlig må skaffe behandlingsgrunnlaget, og
  4. samtykke er behandlingsgrunnlaget; og
    1. det må innhentes før brukerne havner på piksel-listen, og
    2. siden det oftest vil være usikkert om annonsenettverket selv har behandlingsgrunnlag, må samtykket innhentes på vegne av både en selv og nettverket
    3. samtykket må etter GDPR være frivillig, spesifikt, informert, utvetydig, gitt gjennom en aktiv handling, dokumenterbart og like lett å trekke tilbake som det ble gitt

Målgruppebasert retargeting

Selskap som Facebook og lignende, oppretter målgrupper som selges og distribueres videre til tredjeparter for målrettet markedsføring, som del av retargetingen. Segmenteringen er basert på personopplysninger selskapene selv besitter.

I de tilfeller Optimal Norge eller du som kunde kjøper tilgang til målgrupper, uten at enkeltpersoner i disse målgruppene kan identifiseres av Optimal Norge eller deg, vil disse fremstå som anonyme for Optimal Norge. Denne delingen av målgrupper utgjør den andre hovedtypen av retargeting.

Annonsepartnerens behandlingsgrunnlag. Partneren som tilbyr tilgang til målgruppen vil være behandlingsansvarlig, og må ha behandlingsgrunnlag. Vi ser for oss to type tilfeller:

  1. De registrerte har samtykket til at personopplysninger om dem kan benyttes til å opprette og dele en målgruppe med annonsører. Facebook og andre slike behandlingsansvarlige vil i slike tilfeller kunne operere lovlig, ettersom behandlingsgrunnlag vil være sikret gjennom et samtykke.
  2. De registrerte har ikke samtykket til at personopplysninger om dem kan benyttes til annonsering. Vi kan ikke utelukke at det vil være tilfeller hvor målgruppebasert markedsføring vil være nødvendig for å gjennomføre en avtale, eller at berettiget vil foreligge. Man kan f.eks. tenke seg en fordelsklubb, hvor medlemmer ønsker seg særlige tilbud tilsendt. I slike tilfeller vil det normalt være enkelt å innhente samtykke, så scenariet er neppe særlig praktisk. Vi har ellers vanskeligheter med å se hvilke andre behandlingsgrunnlag som kan foreligge. Dermed vil lovlig behandlingsgrunnlag sjelden foreligge, og retargeting vil være i strid med GDPR.

Kundenes behandlingsgrunnlag

For deg som kunde av Optimal Norge blir spørsmålet om du vil anses som behandlingsansvarlig, slik at du må ha behandlingsgrunnlag.

4

GDPR definerer en «behandlingsansvarlig» til å være en person som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes (art. 4 (7)).

Ved å velge for eksempel Facebook som leverandør, velger man middelet. Formålet, som er en spesiell form for markedsføring, velges også av nettsidens innehaver. Nettsideeier må dermed anses som behandlingsansvarlig, sammen med annonsepartneren.

Vurderingen er i tråd med en ny dom i EU. Dommen fastslår at også en administrator som mottar anonymiserte analyser av de besøkende på egen Facebook-side, kan anses som behandlingsansvarlig sammen med Facebook, ettersom det er bedriften selv som bestemmer en del parametere.

Konklusjon

Da du som kunde ikke får tilgang til personopplysninger ved målgruppebasert annonsering, vil annonseringen utgjøre en noe mindre inngripende behandling. Vi ser likevel ikke at nettsideeier vil ha berettiget interesse til å drive retargeting. Samtykke må dermed innhentes, slik at behandlingsgrunnlag etableres.

Råd til deg som kunde

Kunder av Optimal Norge bør vite at:

  1. Det er du selv som må besørge behandlingsgrunnlag som dekker både overføringen til annonseplattformen og annonseringen der:
    1. Samtykke er det aktuelle grunnlaget
    2. Optimal Norge vil kun være databehandler

Ta kontakt med din rådgiver hos Optimal Norge dersom du har spørsmål vedrørende denne informasjonen, eller hvis du trenger til bistand rundt GDPR-compliancy.

Siste innlegg

Nyhetsbrev