Analys: Krävs ett samtycke för Facebook Custom Audiences?

Facebook Custom Audiences är en populär tjänst för direktmarknadsföring som används av många företag och andra organisationer. Enligt dataskyddsförordningen (“GDPR”) krävs ett samtycke för användning av tjänsten. I denna artikel förklarar vi varför.

Vad är Facebook Custom Audiences?

Facebook Custom Audiences (på svenska ”anpassade målgrupper”) är en tjänst för anpassad direktmarknadsföring som Facebook erbjuder till företag och andra organisationer. Ett företag som vill använda Facebook Custom Audiences måste ladda upp en lista över sina kunder inklusive kundernas e-post, telefonnummer eller någon annan identifierare i tjänsten. Efter att kundlistan har laddats upp använder Facebook informationen i listan för att hitta företagets kunder bland sina registrerade medlemmar. Baserat på medlemmarnas egenskaper som identifierats hittar Facebook andra medlemmar med liknande egenskaper som kan vara potentiella kunder för företaget. Företaget kan därefter rikta direktmarknadsföring mot de medlemmar som identifierats med tjänsten.

Facebook Custom Audiences kräver ett samtycke

Kundlistorna som delas med Facebook innehåller personuppgifter eftersom de gör det möjligt att identifiera en enskild individ. Uppgifterna klassas som personuppgifter trots att uppgifterna pseudonymisieras av Facebook genom så kallad hashning (läs mer om pseudonymisiering här). Detta innebär att ett företag som använder Facebook Custom Audiences delar personuppgifter om sina kunder med Facebook.

Förfarandet Facebook Custom Audiences har prövats av en förvaltningsdomstol i Tyskland (motsvarande kammarrätten i Sverige). Bakgrunden till målet var att dataskyddsmyndigheten i Bayern, des Bayerischen Landesamts für Datenschutzaufsicht (“BayLDA”), förbjudit en webbshop att använda Facebook Custom Audiences utan att webbshoppen först hämtade in ett samtycke i enlighet med reglerna i GDPR (läs mer om detta här, endast tillgänglig på tyska).

Den tyska förvaltningsdomstol konstaterade att företag som använder Facebook Custom Audiences måste hämta in kundernas samtycke innan en kundlista laddas upp till Facebook (läs domen här, endast tillgänglig på tyska). Enligt domstolen kan företag inte åberopa ett berättigat intresse för delning av kundernas personuppgifter med Facebook eftersom kunderna inte kan förvänta sig att deras personuppgifter delas med Facebook. Vidare konstaterade domstolen att Facebook inte kan anses vara ett personuppgiftsbiträde som behandlar personuppgifter på företagens uppdrag. Tvärtom klassas Facebook istället som personuppgiftsansvarig varför företagens uppladdning av kundlistor innebär en delning med tredje part.

Domen har vunnit laga kraft. Även om domen beslutats av en tysk förvaltningsdomstol i enlighet med GDPR, kan domstolens slutsatser användas även i Sverige då svenska domstolar inte bortse från rättspraxis som har tagits fram i andra medlemsländer.

Samtyckeskravet gäller alla typer av verksamheter

Det aktuella beslutet från den tyska förvaltningsdomstolen gällde en webbshop. Beslutet gäller dock även för andra än företag som använder sig av Facebook Custom Audiences som till exempel myndigheter, kommuner, regioner, föreningar och andra organisationer.

Samtyckeskravet gäller även Facebook-pixels

Denna artikel diskuterar användningen av Facebook Custom Audiences genom att ladda upp kundlistor i tjänsten. Det finns dock andra sätt att använda Facebook Custom Audiences som till exempel Facebook-pixels som är en teknik för att övervaka webbplatsbesökarnas användning av webbplatsen. Facebook-pixels innebär att webbplatsen placerar en tracking-kod som tillhandahålls av Facebook på webbplatsen som överför information om webbplatsbesökarnas användning av webbplatsen till Facebook, som i sin tur använder informationen för att placera riktad reklam i användarens Facebook-flöde (om användaren är medlem i Facebook). Även användning av Facebook-pixels kräver ett samtycke (läs mer om detta här).

Konsekvenser och risker

Företag och andra organisationer som använder Facebook Custom Audiences måste säkerställa att de har hämtat in kundernas samtycke. För att samtycket ska vara giltigt måste det uppfylla GDPR:s höga krav på information och frivillighet (läs mer om detta här). Företag som saknar kundernas samtycke riskerar sanktionsavgifter och skadeståndskrav från kunder.

En kund till ett företag eller en medlem i en organisation kan lätt ta reda på om företaget eller organisationen har delat uppgifter med Facebook genom att använda ett verktyg som Facebook tillhandahåller sina medlemmar och som visar vilka företag och organisationer som har laddat upp uppgifter om dem.

Användning av Facebook Custom Audiences innebär också en överföring av personuppgifter till USA. Enligt EU-domstolens beslut i Schrems II-målet (C-311/18) finns en risk för att sådana överföringar strider mot reglerna om tredjelandsöverföringar som finns i GDPR (läs mer om detta här).

Mot bakgrund av den överhängande risken för sanktionsavgifter och skadeståndskrav från registrerade bör företag och andra organisationer som använder Facebook Custom Audiences säkerställa att de hämtar in ett giltigt samtycke i enlighet med reglerna i GDPR.

Vill du lära dig mer om GDPR, samtycke och digital marknadsföring kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom AI, personlig integritet och informationssäkerhet.