Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Marknadsföring på nätet – att tänka på från ett dataskydds-perspektiv”

Krönikor
Publicerad: 2020-11-03 09:54

KRÖNIKA – av Christina Berggren, advokat och e-handelsgrupps-ansvarig och Anna Eidvall, advokat och  integritets- och dataskyddsgruppsansvarig på MAQS Advokatbyrå.

När dataskyddsförordningen antogs 2015 var ambitionen att den skulle åtföljas av, eller snarare kompletteras med, en e-Privacy förordning. Detta regelverk, även kallat ”GDPR 2.0”, innehåller bland annat bestämmelser om hur aktörer får övervaka internetanvändares aktivitet med hjälp av olika spårningstekniker (såsom cookies), liksom hur direktmarknadsföring med hjälp av digitala hjälpmedel får ske. Det har nu gått två och ett halvt år sedan dataskyddsförordningen började tillämpas och vi befinner oss fortfarande i ett ingenmansland där i princip alla prognoser för när vi kan se ett uppdaterat regelverk på detta område har passerats och skjutits på framtiden. Det finns nu så många olika versioner av förslag till ny lagstiftning att det är svårt att förutse var vi till slut kommer att landa. Tills GDPR 2.0 har antagits har vi bara det gamla regelverket att förhålla oss till – eller?

Det senaste året har den brittiska, franska, tyska och spanska motsvarigheten till Datainspektionen kommit med vägledning för vad som krävs vid användning av spårningsteknik på nätet från en dataskyddssynpunkt. Likaså har den Europeiska dataskyddsstyrelsen (som består av representanter från samtliga medlemsstaters dataskyddsmyndigheter) publicerat ny vägledning som får bäring på området. Beslut från EU domstolen, liksom andra nationella tillsynsmyndigheter, klargör rättsläget ytterligare.

Sakta men säkert börjar vi få en bild av vad vi bör tänka på vid användandet av spårningsteknik från en dataskyddssynpunkt och vad som rent faktiskt gäller för marknadsföring mot kunder och potentiella kunder per mail och sms, via sociala medier och med stöd av cookies och liknande teknik. Denna bild målar om landskapet för hur dessa frågor hanterats historiskt och kräver därför att företag ser över sina rutiner vid marknadsföring på nätet.

Så vad är det då för bild som börjat målas upp?

Företag måste ha tydliga och konsekventa rutiner för hur länge det sparar personuppgifter om potentiella kunder i marknadsföringssyfte

En av dataskyddsregelverkets grundläggande principer kräver att företag bara sparar personuppgifter så länge som det är nödvändigt för ändamålet med behandlingen. Detta kompliceras av att företag många gånger kan behöva samma personuppgift för flera olika ändamål. Exempelvis kan en e-postadress användas både som användarnamn om företaget har en inloggningssida, i kommunikation med personen om köp av varor och tjänster och för att kunna skicka marknadsföring.

I praktiken betyder det att personuppgiften ska sparas olika länge beroende på det eller de ändamål som uppgiften ska användas för. Det är därför viktigt att skilja på hur länge man får använda uppgiften för respektive ändamål, liksom att se till att det finns tekniska och organisatoriska säkerhetsrutiner på plats, såsom konsekventa gallringsrutiner (antingen manuella eller automatiska), som säkerställer att uppgiften inte används längre än tillåtet för varje specifikt ändamål.

Det finns olika systemstöd på marknaden som kan hjälpa till med detta. Många systemleverantörer erbjuder möjligheten att direkt i systemet märka upp om en person ska få marknadsföring eller inte. Likaså kan man använda ett mailutskickssystem eller CRM-system som erbjuder samma möjligheter. Även om det inte är nödvändigt eller motiverat med tekniska lösningar på alla fronter, kan det underlätta för verksamheten att införa sådana automatiska stödfunktionaliteter.

Det är samtidigt inte tillåtet att spara personuppgifter på obestämd tid eller för alltid. Gallringsprincipen förutsätter en tidsbestämd lagringsperiod, antingen från det att uppgiften samlades in eller från det att en händelse inträffat. Vad en sådan händelse kan vara diskuterades nyligen i ett tillsynsbeslut mot e-handlaren Spartoo. Fallet är särskilt intressant då Spartoo har verksamhet i många av EUs medlemsländer (inklusive Sverige) och samtliga tillsynsmyndigheter där företaget har verksamhet står därför bakom beslutet. I beslutet konstateras bland annat att ett öppnande av ett e-postmeddelande inte utgör en aktivitet som bör tolkas som att personen visat intresse för avsändarens varor eller tjänster eftersom ett e-postmeddelande med enkelhet kan öppnas av misstag. Om personen ifråga klickar på en hyperlänk i meddelandet bör detta, å andra sidan, kunna ses som en aktivitet som ger uttryck för ett intresse i avsändaren och/eller dess produkter och tjänster. Således bör en tidsgräns kunna räknas från när någon klickar på en länk, men inte från att hen öppnar ett e-postmeddelande.

Samtidigt är den bortre tidsgränsen inte absolut utan beror på en rad omständigheter, exempelvis relationen till personen (är det en kund, potentiell kund eller före detta kund) och vilka varor eller tjänster företaget vill marknadsföra. Det kan vara motiverat att spara personuppgifter under en längre tid när det rör sig om sällanköpsvaror (såsom bilar, vitvaror och möbler) jämfört med dagligvaror (såsom mat, hygienartiklar och kläder). Samtidigt är det inte tillåtet att spara personuppgifter om potentiella kunder som företaget inte avser att skicka marknadsföring till efter den period som definierats enligt ovan. Spartoo angav exempelvis att det inte kontaktade potentiella kunder efter två års inaktivitet, samtidigt ville de implementera en gallringsperiod om fem år från den senaste aktiviteten. Detta ansågs inte förenligt med dataskyddsförordningen.

Vid marknadsföring på sociala medier uppkommer ofta ett gemensamt personuppgiftsansvar.

Om den snabba utvecklingen av varor, tjänster och marknadsföringsmöjligheter leder oss mot en verklighet där endast gemensamt personuppgiftsansvar är möjligt tvistar de lärda, men en sak är säker: vid marknadsföring på sociala medier är det sociala mediet och det företag som marknadsför via detta medium oftast gemensamt personuppgiftsansvariga.

Marknadsföring på sociala medier går generellt till så att den ena parten bestämmer ett antal parametrar som särskiljer en viss grupp som parten vill rikta marknadsföring mot och den andra parten möjliggör ett sådant urval och tar fram en sådan grupp till vilken marknadsföring sedan riktas. Ett gemensamt ansvar uppstår eftersom båda parter gemensamt bestämmer ändamålen och medlen med behandlingen. De bestämmer ändamålet; att visa ett marknadsföringsmeddelande till en speciell målgrupp, och medlet; genom att annonsören väljer att marknadsföra på det sociala mediet till en specifik målgrupp som det sociala mediet erbjuder (genom att bestämma vilka parametrar som ska skapa urvalet).

Det gemensamma ansvaret innebär inte nödvändigtvis att båda parter har lika stort ansvar för själva behandlingen; ena parten kanske aldrig ens har tillgång till personuppgifterna som behandlas. Däremot kräver ett gemensamt ansvar att parterna ingår ett arrangemang om hur ansvarsfördelningen ser ut. Ett sådant arrangemang bör vara skriftligt och åtminstone innehålla villkor om:

– Vem som är kontaktperson för registrerade och som ska besvara frågor och uppfylla deras rättigheter,

– Vem som ska lämna information om behandlingen av personuppgifter,

– De grundläggande skyldigheterna i dataskyddsförordningen,

– Rättslig grund (båda parter är visserligen skyldiga att säkerställa att respektive part har en rättslig grund för behandlingen men det är önskvärt, när möjligt, att förlita sig på samma rättsliga grund),

– Säkerhetsåtgärder,

– Anmälan om personuppgiftsincident till tillsynsmyndigheten och registrerade,

– Konsekvensbedömningar,

– Användandet av underbiträden,

– Överföringar av personuppgifter utanför EU/EES, samt

– En rutin för kontakter med registrerade och tillsynsmyndigheten.

Det gemensamma ansvaret omfattar endast de behandlingar som parterna gemensamt bestämmer ändamålet och medlen med. Det omfattar alltså den behandling som sker vid valet av de parametrar som ska utgöra målgruppen, visningen av själva marknadsföringsmeddelandet, liksom eventuell återrapportering av utfallet av kampanjen. Det omfattar inte behandling i andra steg av processen, såsom innan valet av parametrar eller efter att kampanjen avslutats – förutsatt att parterna inte gemensamt bestämmer ändamålen och medlen för sådan behandling.

Företag bör utgå från att det behöver inhämta samtycke

Dataskyddsförordningen kräver som bekant en rättslig grund för behandling av personuppgifter för att den ska vara tillåten. För att social media plattformen ska kunna erbjuda och kunna ta fram det önskade urvalet måste plattformen behandla en mängd personuppgifter om sina användare. Det kan både röra sig om sådana uppgifter som användaren själv uttryckligen delar med sig av; såsom namn, e-postadress och ålder (även kallade tillhandahållna uppgifter), uppgifter som kan observeras av plattformen; såsom hur användaren interagerar på plattformen genom delningar, likes eller uppgifter som samlats in på tredje parts hemsida genom integrering av pixlar eller sociala plug-ins (även kallade observerade uppgifter), liksom information som kan härledas till en specifik användare.

Sådana personuppgifter skapas av plattformen med hjälp av tillhandahållna uppgifter och observerade uppgifter (även kallade härledda uppgifter).

Vanligtvis brukar man inte särskilja mellan insamling och det efterföljande användandet av uppgifterna – förutom när det kommer till observerade uppgifter eftersom dessa ofta samlas in med hjälp av olika spårningstekniker (såsom cookies, pixlar eller sociala plug-ins). Användandet av sådan teknik kräver individens samtycke. Den efterföljande behandlingen kräver i många fall också individens samtycke, till exempel om man vill övervaka personen eller skapa profiler på hen. Beroende på den efterföljande behandlingens natur kan denna, å andra sidan, också göras med stöd av till exempel en intresseavvägning.

Ett samtycke, oavsett om det används för insamlandet eller den efterföljande behandlingen, måste uppfylla dataskyddsförordningens krav. Det har länge varit omtvistat vad detta innebär i praktiken, men EU-domstolens dom förra året i det så kallade Planet49-målet undanröjde alla möjliga tvivel. Förikryssade rutor utgör inte ett giltigt samtycke för placering av cookies på en hemsidebesökares enhet och ett samtycke krävs oavsett om cookien registrerar personuppgifter eller inte. Den Europeiska dataskyddsstyrelsen har senare även bekräftat att så kallade cookie walls (som innebär att sidan inte laddas förrän användaren accepterat alla typer av cookies) inte heller är förenliga med dataskyddsförordningens krav på samtycke. Likaså uppfyller inte bläddring eller scrollning av en hemsida kraven. För funktionella cookies, dvs. sådana cookies som är nödvändiga för att hemsidan ska fungera som avsett, behövs inte samtycke. Sådana cookies får vanligtvis placeras på besökarens enhet förutsatt att webbläsaren är inställd på att acceptera cookies. Andra cookies och annan teknik kräver ett uttryckligt, informerat och frivilligt samtycke.

En skarpare bild som saknar tydliga ramar

Efter att vi i många år svävat i en gråzon för vad som krävs för att cookies och annan spårningsteknik ska kunna placeras på en enhet i enlighet med regelverket, börjar bilden för vad som krävs bli allt mer tydlig. Det betyder också att det blir svårare för företag att skjuta över ansvaret på de sociala medierna, liksom att använda sig av vaga cookie-banners som vi alla blivit vana vid. Samtidigt riskerar utvecklingen leda till så kallad choice fatigue – där vi varje gång när vi besöker en hemsida måste skräddarsy våra cookie-val. Om vi matas med för många val, för ofta, riskerar vi att tillslut klicka ”ja” på allt utan att orka läsa oss in på vad det innebär i praktiken. Är detta då ett giltigt samtycke?

Tills vi har ett nytt regelverk på plats rekommenderar vi att företag, bland annat:

– Tar fram rutiner för direktmarknadsföring och hittar sätt att hålla kvar kunder och skapa engagemang så att de väljer att fortsätta vara kunder.

– Säkerställer att det använder en lämplig rättslig grund för marknadsföringen och för användandet av eventuell spårningsteknik. Det kan vara lämpligt att se över om företaget har behov av ett consent management tool.

– Uppdaterar relevanta informationstexter så att de speglar behandlingen för dessa ändamål på ett transparent och genomsiktligt vis.

– Uppdaterar sig på villkoren som de sociala medierna använder och anpassar sig, sina rutiner och sina villkor utifrån det.

– Ingår avtal med de sociala medierna det använder för marknadsföring som tydligt reglerar villkoren för det gemensamma personuppgiftsansvaret.


Dela sidan:
Skriv ut:

Dagens Juridik
red@dagensjuridik.se