Facebook Custom Audiences är en populär tjänst för direktmarknadsföring som används av många företag och andra organisationer. Enligt dataskyddsförordningen (“GDPR”) krävs ett samtycke för användning av tjänsten. Nedan förklarar vi varför.
Vad är Facebook Custom Audiences?
Facebook Custom Audiences (anpassade målgrupper på svenska) är en tjänst för anpassad direktmarknadsföring som Facebook erbjuder till företag och andra organisationer. Ett verksamhet som vill använda tjänsten måste ladda upp en lista med sina kunder, inklusive kundernas e-postadress, telefonnummer eller någon annan identifierare uppgift. Facebook använder de uppladdade uppgifterna för att hitta kunderna bland sina registrerade medlemmar. Baserat på medlemmarnas egenskaper hittar Facebook andra medlemmar med liknande egenskaper och som kan vara potentiella kunder för företaget eller organisationen. Företaget eller organisationen kan därefter rikta direktmarknadsföring mot de medlemmarna som identifierats genom Facebooks tjänst.
Behandling av personuppgifter
Kundlistor som delas med Facebook på detta sätt innehåller personuppgifter eftersom de gör det möjligt att identifiera en enskild individ. Uppgifterna klassas som personuppgifter trots att uppgifterna pseudonymisieras av Facebook genom så kallad hashning (läs mer om pseudonymisiering här). Detta innebär att denna delning av kundlistor omfattas av GDPR.
Facebook Custom Audiences kräver ett samtycke
Tjänsten Facebook Custom Audiences har prövats av en förvaltningsdomstol i Tyskland (motsvarande kammarrätten i Sverige). Bakgrunden till målet var att Bayerns motsvarighet till Datainspektionen, Bayerisches Landesamt für Datenschutzaufsicht (“BayLDA”), förbjudit en webbshop att använda Facebook Custom Audiences utan att hämta in ett samtycke i enlighet med GDPR.
Domstolen konstaterade i sitt beslut att företag som använder Facebook Custom Audiences måste hämta in kundernas samtycke innan en kundlista laddas upp till Facebook. Företag kan inte åberopa ett berättigat intresse för delning av kundernas personuppgifter med Facebook eftersom kunderna inte kan förvänta sig att deras personuppgifter delas med Facebook. Vidare konstaterade domstolen att Facebook inte kan anses vara ett personuppgiftsbiträde som behandlar personuppgifter på företagens uppdrag, utan att Facebook istället klassas som personuppgiftsansvarig varför uppladdningen av kundlistorna innebar en delning med tredje part.
Konsekvenser och risker
Företag och andra organisationer som använder Facebook Custom Audiences måste således säkerställa att de hämtat in kundernas samtycke. För att samtycket ska vara giltigt måste det uppfylla GDPR:s höga krav på information och frivillighet. Företag och andra organisationer som saknar ett samtycke riskerar sanktionsavgifter från tillsynsmyndigheterna och skadeståndskrav från sina registrerade.
En kund till ett företag (eller en medlem i en organisation som till exempel en förening eller ett politiskt parti) kan lätt ta reda på om företaget eller organisationen delat uppgifter med Facebook eftersom Facebook tillhandahåller ett verktyg som visar medlemmar vilka företag och organisationer som laddat upp uppgifter om dem.
Därutöver innebär en användning av Facebook Custom Audiences en överföring av personuppgifter till USA. Enligt EU-domstolens beslut om att ogiltigförklara Privacy Shield-ramverket i Schrems II-målet finns det en risk för att sådana överföringar strider mot GDPR:s regler om tredjelandsöverföringar (läs mer om detta här).
Vill du lära dig mer om GDPR och digital marknadsföring kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och digital marknadsföring kan du läsa mer här.