Visa dina kunskaper med nya SEO Cert! Visa dina kunskaper med SEO Cert ×
Du lyssnar väl på Sökpodden? Nytt avsnitt varje månad. Du lyssnar väl på Sökpodden? ×
Gör som 14 954 andra, få SEO-tips direkt i mailen Få SEO-tips direkt i mailen
×
Sökmotorkonsult.se

Annonsera mot e-postadresser på Facebook – är det lagligt?

Anna Ersson, jurist

Att annonsera mot e-postadresser på Facebook är effektivt. Samtidigt får vi ofta frågan om man verkligen får göra så. Vi har tagit hjälp av juristen Anna Ersson för att reda ut frågan.

Att GDPR ersätter PUL den 25 maj 2018 har väl knappt lyckats gå någon förbi (stämningen känns lite som inför Y2K). Jag har varit på några föreläsningar om GDPR, denna ena mer förvirrande än den andra.

Under Emeet i år föreläste Anna Ersson om GDPR och mina kollegor som var där berättade att det var en riktigt bra föreläsning och att Anna lyckades med konststycket att göra GDPR begripligt för oss lekmän.

När jag hörde om Annas föreläsning, kontaktade jag henne för att fråga om hon ville svara på en annan vanlig legal fråga vi får. Nämligen vilka regler som gäller när man annonserar mot e-postadresser på Facebook.

Att använda Facebooks funktion för anpassade målgrupper och exempelvis skapa en målgrupp av dina kunders e-postadresser är ofta en mycket effektiv och lönsam målgrupp. Men är det lagligt?

Anna Ersson är jurist på Advokatfirman Delphi där hon är expert på dataskydd/GDPR, marknadsrätt och konsumentfrågor och här följer mina frågor till henne:

Anna, att skapa målgrupper utifrån e-postadresser är ett populärt sätt att annonsera på Facebook. Får man som företag ladda upp och annonsera mot e-postlistor på Facebook hur som helst?
– Eftersom e-postadresser är en personuppgift gäller personuppgiftslagen (PuL) och från och med den 25 maj 2018 dataskyddsförordningen (GDPR). GDPR innebär en hel del förändringar för alla företag som behandlar personuppgifter, speciellt eftersom brott mot reglerna kan innebära risk för böter upp till 4 % av omsättningen eller 20 miljoner euro.

Själva uppladdningen av e-postlistan kan strida mot reglerna beroende på vilken information som kunden har fått när dess uppgifter samlades in och beroende på om samtycke har inhämtats. Varje företag måste göra en bedömning i varje enskilt fall utifrån sina förutsättningar och beroende på vilken typ av data det rör sig om och hur den har samlats in.

Vad krävs det för att det ska vara tillåtet att annonsera på detta sätt?
– För att överföra en kundlista till Facebook krävs det att företaget har en laglig grund för överföringen. Vad som krävs för att använda dessa typer av tjänster är dock inte prövat och tyvärr inte helt klart. Enligt min bedömning är det mest sannolika att kundens samtycke behöver inhämtas.

Möjligen kan företag istället för att inhämta ett samtycke stödja sig på en så kallad intresseavvägning, men det är inte helt klart. Enligt min bedömning går det att argumentera för det i vissa fall, men det är tveksamt om det skulle hålla vid en prövning. Vill ni vara helt säkra på att följa PuL och GDPR bör ett samtycke från kunden därför inhämtas.

Oavsett vilken laglig grund som företaget stödjer sig på är det viktigt att kunden har fått korrekt information om överföringen – det ställs höga krav på att företaget ska vara transparent i sin kommunikation. Kunden ska förstå hur personuppgifterna behandlas och få information om sina rättigheter, t.ex. rätten att invända mot behandlingen och att återkalla sitt samtycke.

När Facebook behandlar ett företags kundlistor för företagets räkning behöver dessutom ett personuppgiftsbiträdesavtal ingås. Detta eftersom Facebook behandlar uppgifter om företagets kunder för företagets räkning.

Kan du ge några bra exempel på hur man som annonsör kan skaffa samtycke att använda en e-postadress på detta sätt?
– Ett samtycke kan inhämtas både muntligt och skriftligt, men ett skriftligt samtycke är oftast enklare att bevisa. Det kan t.ex. inhämtas genom att kunden klickar i en kryssruta på företagets webbplats. Samtycket ska vara klart och tydligt och läggas fram på ett sätt som kan särskiljas från andra frågor i en begriplig och lätt tillgänglig form. Det betyder att samtycket inte kan ”bakas in” i företagets allmänna villkor, utan ska lyftas fram separat på ett tydligt sätt.

Samtycket måste dessutom vara frivilligt. Det får därför inte vara tvingande för kunden att klicka i kryssrutan. Tänk även på att alltid lämna korrekt information i samband med samtycket. Det görs vanligtvis i en så kallad integritetspolicy eller personuppgiftpolicy som finns tillgänglig i anslutning till kryssrutan.

Jag rekommenderar alla företag att alltid anlita en jurist med kunskap om GDPR vid formuleringen av samtycket och policyn. På så sätt säkerställer företaget att de samtycken som kunderna lämnar uppfyller lagens krav och att företaget har ett lagligt stöd för att behandla kundens personuppgifter på det sätt som avses.

Spelar det någon roll om man annonserar mot privatpersoner eller företag på Facebook?
– Uppgifter om ett företag, d.v.s. en juridisk person, är som utgångpunkt ingen personuppgift. Vid överföring av kundlistor med endast företagsuppgifter gäller därför varken PuL eller GDPR. I sådana fall behövs ingen laglig grund för överföringen till Facebook. Om kundlistorna innehåller e-postadresser till kontaktpersoner hos företag, t.ex. anna.ersson@delphi.se, är uppgiften däremot en personuppgift.

Det finns en något större möjlighet att behandlingen är tillåten utan samtycke vid marknadsföring till yrkespersoner. Detta för att det typiskt sett anses mindre integritetskänsligt att få sina personuppgifter behandlade i sin yrkesroll än som privatperson.

Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.

Tänk på att marknadsföringen till personer i sin yrkesroll dock måste uppfylla vissa krav, t.ex. måste det kommersiella meddelandet vara relevant för mottagarens yrkesroll.

Ligger allt ansvar på mig som annonsör, eller har Facebook något ansvar att lagar och regler efterföljs?
– Även Facebook har ett ansvar för att lagar och regler efterföljs. Facebook ansvarar t.ex. själva för att följa PuL och GDPR för deras egen behandling av personuppgifter.

Enligt GDPR får Facebook dessutom ett ökat ansvar för att följa reglerna när de bara behandlar personuppgifter för något annat företags räkning (så kallat personuppgiftsbiträde). En av nyheterna i GDPR är att personuppgiftsbiträden (så som t.ex. leverantörer och reklambyråer) får ett ökat ansvar för att självständigt följa reglerna.

Vilka övriga lagar och regler behöver man som annonsör ta hänsyn till på Facebook?
– Förutom PuL och från och med den 25 maj 2018 GDPR behöver företag ta hänsyn till marknadsrättsliga regler. En annons får t.ex. inte vara vilseledande enligt marknadsföringslagen och om annonsören vill använda någons namn eller bild är det viktigt att följa lag om namn och bild i reklam. Dessutom finns det en rad andra lagar och regler som kan bli tillämpliga i vissa fall, t.ex. varumärkeslagen och upphovsrättslagen.

På vissa områden finns det dessutom särskilda regleringar, t.ex. alkohollagen, tobakslagen och läkemedelslagen. Tänk även på att ange priset i annonsen på rätt sätt enligt prisinformationslagen och om företaget har en egen Facebook-sida finns det en lag för elektroniska anslagstavlor.

Utöver dessa lagar finns det även uppförandekoder och etiska regler för marknadsföring som har tagits fram av ICC och Swedma.

Om behandlingen avser uppgifter om personer i andra länder eller om annonsen riktar sig till personer utanför Sverige kan det dessutom finnas motsvarande lagar i andra länder som annonsören bör ta hänsyn till.

Tack, Anna!

9 kommentarer

  1. Gäller även GDPR för nyhetsbrev?

    Kommentar av

    Jimmy

  2. Jimmy,

    Ja, det gäller även för nyhetsbrev.

  3. ”Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.”

    Gäller detta även när GDPR träder in?

    /Mikael

    Kommentar av

    Mikael

  4. Hej Jimmy

    Ja, som jag tolkar det, är detta inget som ändras.

  5. Är det andra regler som gäller när man bara skapar en målgrupp baserat på ort, ålder, intressen osv.? Dvs där man inte använder epost-adresser.

    Kommentar av

    Martina

  6. Martina,

    Tack för din kommentar. Ja, det är annorlunda för i detta fall vet du inte vem du annonserar mot och du för heller inte över någon form av kunddata till Facebook. Här är upp till Facebook att se till att lagar och regler efterföljs.

  7. Vad gäller egentligen vid retargeting?

    Kommentar av

    Emelie

  8. Emelie,

    Bra fråga. Jag vill börja med att säga att jag inte är en jurist eller GDPR-specialist så ta mitt svar för vad det är.

    Min uppfattning är att ingen säkert vet vad som gäller just i denna fråga. Vilket inte är så konstigt då GDPR är nytt och inte prövat ännu.

    Frågan gällande retargeting och GDPR gäller ju främst hur man använder sig av cookies. Det som är fakta är att i GDPR-förordningen nämns cookies vid ett enda tillfälle. Tanken har varit att en annan EU-förordning, e Privacy, skulle börja gälla samtidigt som GDPR.

    Denna förordning skulle i större utsträckning än GDPR behandla just cookies. Dock har e Privacy blivit försenad och många verkar vänta på denna för bättre vägledning vad som gäller gällande cookies.

  9. ”Är det andra regler som gäller när man bara skapar en målgrupp baserat på ort, ålder, intressen osv.? Dvs där man inte använder epost-adresser.”

    Så fort du skapar något där en individ kan identifieras på något sätt gäller GDPR. Finns det bara en Nisse Karlsson i en ort, så kan Nisse identifieras. Finns det bara en Peter Svensson i Sverige som är född 1987 kan Peter identifieras.

    Tvärtemot ovan behöver en epostadress inte nödvändigtvis innebära en identifiering. Men som du kan se, kommer säkert någon post eller flera i ett register innebära en identifiering, så det är lika bra att alltid betrakta ett register över levande personer som ett personregister.

    Det är inte olagligt att upprätta ett personregister om det finns ett legitimt skäl till det. Det finns förbud att upprätta personregister om syftet t.ex. är att registrera brottslingar, politisk tillhörighet eller liknande.

    GDPR är väldigt upphausat och många är rädda att göra fel. Registrering av personuppgifter har alltid krävt godkännande. GDPR tillför att det ska upplysas ordentligt hur en personuppgift behandlas av den som har registret och att den som är registrerad ska kunna få ut i princip allt som finns registrerat och hur det har behandlats.

    Jag skulle nog konspiratoriskt kunna påstå att GDPR:s främsta syfte är att öka möjligheten för staten och myndigheter att snoka i företags eller andra organisationers personregister.

    Kommentar av

    Göran

RSS feed for comments on this post.

Innan du kommenterar var vänlig och läs igenom reglerna för kommentarer

Bästa SEO-nyhetssajterna

Det finns många olika källor för att lära sig om SEO och vara uppdaterad. I denna artikel hittar du de bästa SEO nyhetssajterna för att hålla koll på branschen som är i ständig förändring.

Ahrefs Content Gap

Ahrefs Content Gap – Se vad dina konkurrenter rankar på

Med funktionen Content Gap i Ahrefs ser du snabbt och enkelt vilka sökord dina konkurrenter rankar på – men inte du.

Pontus Karlsson, Michael Wahlgren och Viktoria Nerell i Sökpodden avsnitt 44

#44 Ahrefs

Gillar du också Ahrefs? I avsnitt 44 Sökpodden börjar vi med att prata om våra favoritfunktioner i Ahrefs. Därefter går vi vidare till ett annat verktyg, Facebooks nya attributionsverktyg. Avslutningsvis tar vi ett samtal om juniorer och seniorer. Du lyssnar väl?

black_friday_google_ads

Google Ads – 6 tips inför Black Friday 2018

I denna artikel ger vi 6 stycken Google Ads-tips inför Black Friday 2018. Läs alla tipsen här!

Lighthouse

Nya PageSpeed Insights är här

PageSpeed Insights har fått sig en fick sig en rejäl uppdatering – både designmässigt och under huven. Här går vi igenom vad som har förändrats.

Di Gasell 2012 Logo Di Gasell 2013 Logo
Di Gasell 2013 Logo
Bing Partner