Taggar

GDPR på Facebook: Detta måste du veta ✅

08 Maj 2018 GDPR på Facebook: Detta måste du veta ✅

Är du stressad av den nya personlighetslagen – GDPR – som träder i kraft den 25 maj? Många är redan igång, men det är också många som fortfarande sitter med stora frågetecken kring hur det egentligen kommer att fungera. Att förstå begreppet är en grej, men hur ska det i praktiken fungera med Facebook?

Frågan som många ställer bland annat oss, är: ”Måste jag radera allting jag har lagt upp i mina målgrupps-listor efter den 25 maj?” Svaret är faktiskt både ja och nej, som jag kommer att förklara lite senare i det här inlägget. Men först är det också viktigt att först vart Facebook står när det kommer till GDPR.

“Data protection is central to Facebook and our family of apps’ services. We comply with current EU data protection law, and will comply with the GDPR.” – “Facebook GDPR Sheet, Jan.2018

Med denna meningen bekräftar Facebook att företaget och deras verktyg kommer att rätta sig efter den nya personlighetslagen. Närmare bestämt så säger de att företag och annonsörer på Facebook kan använda alla verktyg på samma sätt som idag, men att användningen måste överensstämma med gällande lagstiftning och sekretessregler.

Kravet om samtycke och behandling av data kommer att fortsätta gälla, men med mycket hårdare punkter, som t ex:

  • Bekräftelse för samtycke ska alltid framstå tydligt i form av frivillig och specifik information.
  • Vid förfrågan har man alltid rätt till att få all sin data raderad, eller ta tillbaka sitt samtycke.
  • Samtycket måste komma från en person som är myndig i det landet som du annonserar i.
  • Explicit samtycke krävs för användningen av data för varje syfte, och inte som en enda grupp (du kan inte använda datan för något du inte meddelat om).
  • Behandling av data måste avslutas hos ett företag eller en tredje part om det strider mot individernas rättigheter, intressen eller motsätter sig behandlingen.

 

Hädanefter så måste du alltså ge användarna klarhet och frihet när du har för avsikt att samla in emailadresser; berätta klart och tydligt vad du kommer att använda den till och ge alltid valet att inte få vara med, samt att datan kan raderas om så önskas. Insamlingen av emailadresser kan ske genom nedladdningsbara PDF-filer, kontaktformulär, osv.

När du samlar e-post och kontaktinformation måste användarna alltid ha friheten att kryssa i det som de går med på. Alternativet får inte vara färdig ifyllt, och inte heller locka med olika erbjudanden om du väljer att mottaga det. Det samtycket du får från användare kommer avgöra om du kan använda datan till exempel. att skapa målgrupper på Facebook, eller skicka ut nyhetsbrev.

VEM HAR ANSVARET FÖR DATABEHANDLINGEN?

Här är det viktigt att förstå att det är två olika grupper som definierar vem som ansvarar för databehandlingen: Data Controller och Data Processor. Facebook tillhör bägge grupperna beroende på situationen, och samma gäller annonsören och databehandlaren.

DATA CONTROLLER

Gäller dem som hanterar data när de har kontroll över ”syfte” och ”medel” vid behandling av personuppgifter. Den som är Data Controller måste förklara hur data samlas in, vad den används för, hur länge den lagras och se till att människor får tillgång till data om sig själva om så önskas. Samma princip gäller i sekretesslagen idag.

I de flesta fall står Facebook som Data Controller när personupplysningar och aktiviteter behandlas från företag: Facebook, Messenger, Instagra,, WhatsApp och Oculus. Facebook är också ansvarig när egen data används för att visa annonsörens annonser mot besökare, som t ex intressebaserad annonsering baserad på användarnas aktivitet på Facebook.

Företag/personer som behandlar data, alltså+ de som samlar in epostadresser och kontaktinformation, har rollen som Data Controller. Den ansvariga måste kunna visa hur data samlas in, vad den används till, hur länge den lagras, och även vara säkra på att man kan få tillgång till datan om så önskas.

DATA PROCESSOR

När data bearbetas på uppdrag av en datakontrollör, har du rollen som dataprocessor. Här är det viktigt att det finns en ömsesidig skyldighet för datakontrollören och dataprocessorn att uppgifterna behandlas på ett säkert och juridiskt sätt. 

I vissa fall är Facebook i Data Controllerns roll när det är i samarbete med företag och andra tredje parter. När Facebook är i Data Controllens roll måste annonsören / företaget uppfylla sina uppgifter i GDPR.

  • Detta är sant när Facebook matchar din data med sin egen användardatabas för att skapa publik, till exempel datafiler. I detta fall är Facebook i Data Controllerns roll.
  • Genom att använda mätning och analys av annonskampanjer och få insikter om målgruppen, kommer Facebook att behandla data på uppdrag av behandlingschefen.
  • Facebook har rollen som dataprocessor. Andra är för företag som använder Facebook Workplace. När anställda samarbetar med kollegor som använder Facebooks verktyg, kommer Facebook att behandla personuppgifter som datatjänstleverantörer för att tillhandahålla tjänsten.

HUR SÄKRAR VI DATA SOM TILLREDSSTÄLLER GDPR OCH FACEBOOK?

Att vara tydlig med samtycke är nyckelorden. Som tidigare nämnts bör all information om datainsamling vara tydlig så att användarna är medvetna om vad de säger ja till. Informationen ska vara tydlig så att användarna förstår att de har frihet att bestämma hur data om dem används, hur länge de kan användas och hur de kan dra tillbaka samtycke. Samtycket ska vara konkret och tydligt och användaren ska ges frihet och val av hur deras kontaktuppgifter och data behandlas.

Om man ger företaget sin email; tackar nej till nyhetsbrev, men ja till Facebook-annonser, kan företaget således bara använda email för att visa Facebook-annonser. Företaget måste också kunna visa rutinmässig kontroll och rutiner för att erhålla och bearbeta data under tillsyn. Facebook är i samma typ av båt som oss, bara större. De måste också uppfylla GDPR på samma sätt som oss när vi samlar och behandlar data, bara att de har oerhört mycket mer data än vad vi har. Om vi, som bearbetar data, uppfyller kraven för GDPR, uppfyller vi även Facebooks krav.

VAD GÖR VI MED ALL PERSONDATA SOM VI HAR IDAG?

Här är det viktigt att få tydliga förtydliganden från alla samarbetspartner, oavsett om det är byråer eller verktyg. Du måste känna till nuvarande status för all denna data. Samlar företag kontaktinformation direkt på Facebook, webbplats eller motsvarande, måste den ansvariga personen känna till detta. Uppfyller den nuvarande datan inte kraven, så måste den raderas.  Dessutom går det att uppdatera denna lista genom att kontakta de som står på dem, och på nytt be om deras samtycke. Det måste klart och tydligt framgå vad det är de ger sitt samtycke till, och varför de säger ja. De som uppdaterar sitt samtycke, kan bli kvar på listan. De som inte ger sitt samtycke eller inte svarar, får man inte ha kvar på listan. 

MÅSTE JAG RADERA MINA CUSTOM AUDIENES SOM ÄR BASERAT PÅ KUNDDATA OCH LOOKALIKE AUDIENCES?

Nu när vi har gått igenom några av bakgrunden nuvarande Facebook och GDPR, ser vi tillbaka på vår första fråga. Förhoppningsvis förstår du bättre nu varför vi initialt svarade både ja och nej. Listor som innehåller obehandlad data som inte uppfyller uppdaterat samtycke under GDPR måste raderas. Det innebär även listor som innehåller några som är uppdaterade och några som inte är uppdaterade. Kravet är att alla listor ska ha samtycke som uppfyller kraven i GDPR, och det betyder allt.

Lookalike Audiences som baseras på obehandlade listor bör också raderas eftersom den här spegelgruppen är baserad på samma lista. Lookalike Audience baserade plistor från GRDP-kompatibla CRM-system är acceptabla. Det är därför inte nödvändigt att radera dessa. Andra listor, till exempel anpassade målgrupper, som är baserade på webbadresser, pixelhändelser eller sidoinlägg, behöver inte raderas just nu. Det här är data där Facebook ingår i vårdgivarens roll, så företaget ansvarar för att deras data uppfyller GDPR. Det rekommenderas ändå att chatta med sin IT, webbansvarig, byrå eller person som ansvarar för integritet och data. Ta reda på om deras uppgifter och kontaktuppgifter uppfyller GDPR: s krav. Det är också viktigt att det finns en tydlig sekretesspolicy på din webbplats om du använder Facebook-pixel för spårning. Besökare bör veta att deras information kan användas för marknadsföring i tredje parts kanaler som Facebook, Linkedin etc.

GDPR PÅ ANDRA SOCIALA MEDIER

Om du använder e-postlistor i andra sociala medier, gäller samma princip för alla. Oavsett om den kanal du använder är i rollen som Data Controller eller Data Processor måste du se till att du uppfyller GDPRs krav enligt personlagen.

Linkedin

Kanalen är i rollen som Data Processor och annonsörer som Data Controller. Alla listor som inte har behandlats med nytt samtycke enligt GDPR måste raderas. Användare / kunder måste veta vad de tackat ja till för att acceptera annonser på LinkedIn.

Twitter

Twitter har både rollen som Data Processor och Data Controller oberoende av situationen, precis som Facebook. Å andra sidan måste det alltid finnas en ömsesidig skyldighet att data har samlats in i linje med GDPR. Alla listor som inte behandlas i linje med GDPR måste raderas. Användare / kunder måste veta att de accepterar annonser på Twitter.

Snapchat

På uppdrag av annonsören som är administratör, kommer Snapchat i rollen som dataprocessor. Således måste administratören ha samlat in data i enlighet med GDPR. E-postlistor som inte behandlas i linje med GDPR måste raderas. Detsamma gäller Lookalike Audiences baserat på dessa datalistor. Användare / kunder måste veta att de accepterar annonser på Snaphat.

Slutligen vill vi påpeka att anpassning till GDPR är en process som varierar från företag till företag. Det finns många olika typer av personuppgifter, verktyg och hanteringssystem som gör det möjligt för varje enskilt företag att skapa sin egen anpassningsstrategi. Detta inlägg bör därför inte betraktas som en aspekt av hur man följer GDPR, utan snarare som en pekare i rätt riktning.

Lycka till! 

 

Etiketter:
,
Inga kommentarer

Skriv en kommentar