Visa dina kunskaper med nya SEO Cert! Visa dina kunskaper med SEO Cert ×
Du lyssnar väl på Sökpodden? Nytt avsnitt varje månad. Du lyssnar väl på Sökpodden? ×
Gör som 14 954 andra, få SEO-tips direkt i mailen Få SEO-tips direkt i mailen
×
Sökmotorkonsult.se

Annonsera mot e-postadresser på Facebook – är det lagligt?

Anna Ersson, jurist

Att annonsera mot e-postadresser på Facebook är effektivt. Samtidigt får vi ofta frågan om man verkligen får göra så. Vi har tagit hjälp av juristen Anna Ersson för att reda ut frågan.

Att GDPR ersätter PUL den 25 maj 2018 har väl knappt lyckats gå någon förbi (stämningen känns lite som inför Y2K). Jag har varit på några föreläsningar om GDPR, denna ena mer förvirrande än den andra.

Under Emeet i år föreläste Anna Ersson om GDPR och mina kollegor som var där berättade att det var en riktigt bra föreläsning och att Anna lyckades med konststycket att göra GDPR begripligt för oss lekmän.

När jag hörde om Annas föreläsning, kontaktade jag henne för att fråga om hon ville svara på en annan vanlig legal fråga vi får. Nämligen vilka regler som gäller när man annonserar mot e-postadresser på Facebook.

Att använda Facebooks funktion för anpassade målgrupper och exempelvis skapa en målgrupp av dina kunders e-postadresser är ofta en mycket effektiv och lönsam målgrupp. Men är det lagligt?

Anna Ersson är jurist på Advokatfirman Delphi där hon är expert på dataskydd/GDPR, marknadsrätt och konsumentfrågor och här följer mina frågor till henne:

Anna, att skapa målgrupper utifrån e-postadresser är ett populärt sätt att annonsera på Facebook. Får man som företag ladda upp och annonsera mot e-postlistor på Facebook hur som helst?
– Eftersom e-postadresser är en personuppgift gäller personuppgiftslagen (PuL) och från och med den 25 maj 2018 dataskyddsförordningen (GDPR). GDPR innebär en hel del förändringar för alla företag som behandlar personuppgifter, speciellt eftersom brott mot reglerna kan innebära risk för böter upp till 4 % av omsättningen eller 20 miljoner euro.

Själva uppladdningen av e-postlistan kan strida mot reglerna beroende på vilken information som kunden har fått när dess uppgifter samlades in och beroende på om samtycke har inhämtats. Varje företag måste göra en bedömning i varje enskilt fall utifrån sina förutsättningar och beroende på vilken typ av data det rör sig om och hur den har samlats in.

Vad krävs det för att det ska vara tillåtet att annonsera på detta sätt?
– För att överföra en kundlista till Facebook krävs det att företaget har en laglig grund för överföringen. Vad som krävs för att använda dessa typer av tjänster är dock inte prövat och tyvärr inte helt klart. Enligt min bedömning är det mest sannolika att kundens samtycke behöver inhämtas.

Möjligen kan företag istället för att inhämta ett samtycke stödja sig på en så kallad intresseavvägning, men det är inte helt klart. Enligt min bedömning går det att argumentera för det i vissa fall, men det är tveksamt om det skulle hålla vid en prövning. Vill ni vara helt säkra på att följa PuL och GDPR bör ett samtycke från kunden därför inhämtas.

Oavsett vilken laglig grund som företaget stödjer sig på är det viktigt att kunden har fått korrekt information om överföringen – det ställs höga krav på att företaget ska vara transparent i sin kommunikation. Kunden ska förstå hur personuppgifterna behandlas och få information om sina rättigheter, t.ex. rätten att invända mot behandlingen och att återkalla sitt samtycke.

När Facebook behandlar ett företags kundlistor för företagets räkning behöver dessutom ett personuppgiftsbiträdesavtal ingås. Detta eftersom Facebook behandlar uppgifter om företagets kunder för företagets räkning.

Kan du ge några bra exempel på hur man som annonsör kan skaffa samtycke att använda en e-postadress på detta sätt?
– Ett samtycke kan inhämtas både muntligt och skriftligt, men ett skriftligt samtycke är oftast enklare att bevisa. Det kan t.ex. inhämtas genom att kunden klickar i en kryssruta på företagets webbplats. Samtycket ska vara klart och tydligt och läggas fram på ett sätt som kan särskiljas från andra frågor i en begriplig och lätt tillgänglig form. Det betyder att samtycket inte kan ”bakas in” i företagets allmänna villkor, utan ska lyftas fram separat på ett tydligt sätt.

Samtycket måste dessutom vara frivilligt. Det får därför inte vara tvingande för kunden att klicka i kryssrutan. Tänk även på att alltid lämna korrekt information i samband med samtycket. Det görs vanligtvis i en så kallad integritetspolicy eller personuppgiftpolicy som finns tillgänglig i anslutning till kryssrutan.

Jag rekommenderar alla företag att alltid anlita en jurist med kunskap om GDPR vid formuleringen av samtycket och policyn. På så sätt säkerställer företaget att de samtycken som kunderna lämnar uppfyller lagens krav och att företaget har ett lagligt stöd för att behandla kundens personuppgifter på det sätt som avses.

Spelar det någon roll om man annonserar mot privatpersoner eller företag på Facebook?
– Uppgifter om ett företag, d.v.s. en juridisk person, är som utgångpunkt ingen personuppgift. Vid överföring av kundlistor med endast företagsuppgifter gäller därför varken PuL eller GDPR. I sådana fall behövs ingen laglig grund för överföringen till Facebook. Om kundlistorna innehåller e-postadresser till kontaktpersoner hos företag, t.ex. anna.ersson@delphi.se, är uppgiften däremot en personuppgift.

Det finns en något större möjlighet att behandlingen är tillåten utan samtycke vid marknadsföring till yrkespersoner. Detta för att det typiskt sett anses mindre integritetskänsligt att få sina personuppgifter behandlade i sin yrkesroll än som privatperson.

Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.

Tänk på att marknadsföringen till personer i sin yrkesroll dock måste uppfylla vissa krav, t.ex. måste det kommersiella meddelandet vara relevant för mottagarens yrkesroll.

Ligger allt ansvar på mig som annonsör, eller har Facebook något ansvar att lagar och regler efterföljs?
– Även Facebook har ett ansvar för att lagar och regler efterföljs. Facebook ansvarar t.ex. själva för att följa PuL och GDPR för deras egen behandling av personuppgifter.

Enligt GDPR får Facebook dessutom ett ökat ansvar för att följa reglerna när de bara behandlar personuppgifter för något annat företags räkning (så kallat personuppgiftsbiträde). En av nyheterna i GDPR är att personuppgiftsbiträden (så som t.ex. leverantörer och reklambyråer) får ett ökat ansvar för att självständigt följa reglerna.

Vilka övriga lagar och regler behöver man som annonsör ta hänsyn till på Facebook?
– Förutom PuL och från och med den 25 maj 2018 GDPR behöver företag ta hänsyn till marknadsrättsliga regler. En annons får t.ex. inte vara vilseledande enligt marknadsföringslagen och om annonsören vill använda någons namn eller bild är det viktigt att följa lag om namn och bild i reklam. Dessutom finns det en rad andra lagar och regler som kan bli tillämpliga i vissa fall, t.ex. varumärkeslagen och upphovsrättslagen.

På vissa områden finns det dessutom särskilda regleringar, t.ex. alkohollagen, tobakslagen och läkemedelslagen. Tänk även på att ange priset i annonsen på rätt sätt enligt prisinformationslagen och om företaget har en egen Facebook-sida finns det en lag för elektroniska anslagstavlor.

Utöver dessa lagar finns det även uppförandekoder och etiska regler för marknadsföring som har tagits fram av ICC och Swedma.

Om behandlingen avser uppgifter om personer i andra länder eller om annonsen riktar sig till personer utanför Sverige kan det dessutom finnas motsvarande lagar i andra länder som annonsören bör ta hänsyn till.

Tack, Anna!

8 kommentarer

  1. Gäller även GDPR för nyhetsbrev?

    Kommentar av

    Jimmy

  2. Jimmy,

    Ja, det gäller även för nyhetsbrev.

  3. ”Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.”

    Gäller detta även när GDPR träder in?

    /Mikael

    Kommentar av

    Mikael

  4. Hej Jimmy

    Ja, som jag tolkar det, är detta inget som ändras.

  5. Är det andra regler som gäller när man bara skapar en målgrupp baserat på ort, ålder, intressen osv.? Dvs där man inte använder epost-adresser.

    Kommentar av

    Martina

  6. Martina,

    Tack för din kommentar. Ja, det är annorlunda för i detta fall vet du inte vem du annonserar mot och du för heller inte över någon form av kunddata till Facebook. Här är upp till Facebook att se till att lagar och regler efterföljs.

  7. Vad gäller egentligen vid retargeting?

    Kommentar av

    Emelie

  8. Emelie,

    Bra fråga. Jag vill börja med att säga att jag inte är en jurist eller GDPR-specialist så ta mitt svar för vad det är.

    Min uppfattning är att ingen säkert vet vad som gäller just i denna fråga. Vilket inte är så konstigt då GDPR är nytt och inte prövat ännu.

    Frågan gällande retargeting och GDPR gäller ju främst hur man använder sig av cookies. Det som är fakta är att i GDPR-förordningen nämns cookies vid ett enda tillfälle. Tanken har varit att en annan EU-förordning, e Privacy, skulle börja gälla samtidigt som GDPR.

    Denna förordning skulle i större utsträckning än GDPR behandla just cookies. Dock har e Privacy blivit försenad och många verkar vänta på denna för bättre vägledning vad som gäller gällande cookies.

RSS feed for comments on this post.

Innan du kommenterar var vänlig och läs igenom reglerna för kommentarer

Undo liten

Hur ska ni ha det med meta descriptions Google?

Hur ska ni ha det med meta descriptions Google? I förra veckan valde Google att backa tillbaka till kortare beskrivningar i sökresultatet från att nästan ha dubblat längden i december förra året.

Maria Fernholm, Michael Wahlgren och Pontus Karlsson i Sökpodden 39

#39 Jagad av Google

Varför ogillar Google rankingdata så mycket och hur använder du den på bästa sätt? Detta ämnen börjar vi med att prata om i avsnitt 39 av Sökpodden. Vi fortsätter med att dyka ned i rubriker och hur du på bästa sätt ökar din synlighet på Google. Sist men inte minst jämför vi annonsering på Instagram och Facebook. Lyssna gärna!

Bounce rate i Google Analytics av Robot

Vad är bounce rate i Google Analytics?

Hur ser du på bounce rate i Google Analytics? Ska man alltid sträva efter så lågt som möjligt och undvika hög avvisningsfrekvens? Bounce rate kommer oftast upp i diskussion och här diskuterar vi det mest missförstådda och användbara mätetalet i Google Analytics. Läs mer om bounce rate här!

Brighton SEO

SEO-konferensen för nördar – Brighton SEO

Vi har precis varit på konferensen Brighton SEO där vi träffade och lyssnade på intressant personer från SEO-branschen. 3 500 SEO-nördar från ett 40-tal olika länder – en konferens helt i vår smak. I denna artikel sammanfattar vi våra intryck från Brighton SEO.

eurovision 2018 odds Finland

Eurovision 2018 – vem vinner enligt Google?

Har du lyssnat på årets Eurovision-bidrag? Det har vi. Vi har gått igenom vilka favoriter de deltagande länderna har och hittat vad vi tror är vinnaren av Eurovision 2018. I sökningar om inte annat. Håll hårt i fjäderboan, nästa vecka […]

Di Gasell 2012 Logo Di Gasell 2013 Logo
Di Gasell 2013 Logo
Bing Partner