GDPR på Facebook: Dette må du vite ✅

Er du stresset av den nye personvernforordningen (GDPR) som trer i kraft den 25.mai?

Da skal du få en god nyhet. Innføringen av GDPR er nemlig blitt utsatt på grunn av folkeavstemninger i Lichtenstein. Ny fristdato er satt til 1.juli.

Uansett om fristen ville vært 25.mai eller 1.juli så vil GDPR komme til Norge, så det er ingen grunn å utsette arbeidet med å få dette på plass. Mange er godt i gang allerede, men det er også mange som sitter med spørsmålstegn. Å forstå begrepet og prinsippet er en ting, men hvordan funker dette i praksis for Facebook?

Spørsmålet mange stiller er; "Må jeg slette alt jeg har opprettet av målgruppe-lister i Facebook etter 1.juli?"

Svaret er både ja og nei, som jeg vil forklare nærmere senere i innlegget. Men først er det viktig å forstå hvor Facebook står når det kommer til GDPR.

“Data protection is central to Facebook and our family of apps’ services. We comply with current EU data protection law, and will comply with the GDPR.” - “Facebook GDPR Sheet, Jan.2018”

Facebook bekrefter med denne setningen at selskapet og deres verktøy vil rette seg etter personvernforordningen.

Nærmere bestemt sier de at bedrifter og annonsører på Facebook kan bruke verktøyene på samme måte som i dag, men at bruken må overholde dagens lovverk og personvernforordningen.

Kravet om samtykke og behandling av data vil fortsatt gjelde, men med strengere oppfølgingspunkter, som f.eks:

• Bekreftelse for samtykke skal alltid fremstå tydelig i form av frivillighet og spesifikk informasjon.
  
• Folk har rett til å få informasjonen sin slettet på forespørsel, eller trekke tilbake samtykket sitt.
  
• Samtykket må komme fra en person som er myndig i landet du annonserer.
  
• Eksplisitt samtykke kreves til bruk av data for hvert formål, og ikke som en samlet gruppe.
  
• Behandling av data må stanses hos bedrift eller tredjepart dersom det overstyrer enkeltpersoners rettigheter, interesser eller de motsetter seg behandlingen.
  

Fremover må du altså kunne gi brukere mer klarhet og frihet når du har til hensikt å samle e-poster. Det kan f.eks være via konkurranser, nedlastbare pdf-filer eller standard kontaktskjema.

Der innsamling av epost og kontaktinformasjon foregår, skal brukere med andre ord alltid ha friheten til å krysse av for hva de godtar. Valg-alternativet kan ikke være forhåndsutfylt, og siden brukere skal kunne melde seg inn frivillig, så kan ikke det lokkes med tilbud eller fordeler.

Samtykket du får tilbake fra brukere vil avgjøre om du kan bruke dataene til f.eks. å lage målgrupper på Facebook eller sende ut nyhetsbrev.

Hvem har ansvaret for databehandlingen?

Her er det viktig å forstå at det er to ulike grupper som definerer hvem som har ansvar for databehandling: Data Controller og Data Processor.

Facebook tilhører begge gruppene avhengig av situasjonen, og det samme gjelder annonsører og databehandlere.

Behandlingsansvarlig - Data Controller

Gjelder de som håndterer data når de er i kontroll over “formålet” og “midlene” ved behandling av personopplysninger. Behandlingsansvarlige må redegjøre for hvordan data samles inn, hva de brukes til, hvor lenge de oppbevares, og sikre at folk får tilgang til data om seg selv. Samme prinsipp gjelder i personvernloven i dag.

I de fleste tilfellene står Facebook som behandlingsansvarlige når personopplysninger og aktiviteter behandles fra selskapene: Facebook, Messenger, Instagram, WhatsApp og Oculus.

Facebook er også ansvarlige når egne data brukes for å vise annonsørens annonser til folk, som f.eks interesser basert på brukerens aktivitet på Facebook.

Bedrifter/personer som behandler data, altså de som samler inn e-poster og kontaktinformasjon, har rollen som behandlingsansvarlig. Den ansvarlige må kunne fremvise hvordan data samles inn, hva det brukes til, hvor lenge den beholdes, og i tillegg sikre at folk kan få innsikt i deres data.

Databehandler - Data Processor

Når data behandles på vegne av en behandlingsansvarlig (Data Controller) er du i rollen som databehandler. Her er det viktig at det fremkommer en gjensidig forpliktelse hos behandlingsansvarlig (Data Controller) og databehandler (Data Processor) om at data behandles på en trygg og lovlig måte.

I enkelte tilfeller havner Facebook i rollen som databehandler når det er i samarbeid med bedrifter og andre tredjeparter. Når Facebook er i rollen som databehandler, må annonsøren/bedriften sine data tilfredsstille kravene i GDPR.

• Dette gjelder når Facebook matcher dine data med deres egen brukerdatabase for å opprette publikum, som f.eks via datafil. I dette tilfellet stiller Facebook i rollen som databehandler.
  
• Ved bruk av måling og analyse av annonsekampanjer og innhenting av innsikt om målgruppen, vil Facebook behandle data på vegne av av behandlingsansvarlig. Facebook har rollen som databehandler.
  
• Annet er for bedrifter som bruker Facebook Workplace. Når ansatte samarbeider med kolleger ved hjelp av Facebooks verktøy, vil Facebook behandle personopplysninger som databehandlere for å yte tjenesten.
  

Hvordan sikrer vi data som tilfredsstiller GDPR og Facebook?

Tydelig samtykke er nøkkelordet. Som tidligere nevnt, skal all informasjon om datainnsamling være tydelig slik at brukere er bevisst på hva de sier ja til.

Informasjonen skal være tydelig slik at brukere forstår at de har friheten til å bestemme hvordan data om dem blir brukt, hvor lenge det kan brukes samt hvordan de kan trekke tilbake samtykket.

Samtykket skal være konkret og eksplisitt, og brukeren skal gis frihet og valgmuligheter for hvordan deres kontaktopplysninger og data behandles. Hvis jeg gir fra meg min e-post, takker nei til nyhetsbrev men ja til Facebook annonser, kan bedriften kun bruke min e-post til å vise Facebook annonser.

Bedriften må også kunne vise frem rutinekontroll og prosedyrer på innhenting og behandling av data ved tilsyn.

Facebook er i samme type båt som oss, bare større. De må også tilfredsstille GDPR på samme måte som oss ved innhenting og behandling av data, bare at de har et hav av data mer enn oss. Hvis vi som behandler data oppfyller kravene i GDPR, så oppfyller vi Facebook sine krav også.

Du kan finne mer informasjon om GDPR i vårt blogginnlegg: Dette bør du vite om GDPR (Personvernforordningen).

Men hva gjør vi med all data av personopplysninger vi har i dag?

Her er det viktig å få en klar og tydelig avklaring fra alle samarbeidspartnere, enten det er byrå eller verktøyer. Du må vite dagens status på deres data.

Samler bedriften kontaktopplysninger direkte på Facebook, nettside eller tilsvarende, må den ansvarlige vite dette. Oppfyller ikke dagens data GDPR sine krav, må listen slettes.

Videre kan den oppdateres ved å kontakte de på listen (dersom du har mulighet for å gjøre dette), og be dem om å gi samtykke på nytt. Det må fremgå klart og tydelig hvorfor de på listen skal gi samtykke, samt hva de sier ja til.

De som oppdaterer dere samtykke, kan bli på listen. De som melder av eller ikke gir lyd, må slettes.

Så må jeg slette mine Custom Audiences som er basert på kundefil og Lookalike Audiences?

Nå som vi har gått gjennom litt av bakgrunnen gjeldende Facebook og GDPR, retter vi blikket tilbake til vårt første spørsmål. Forhåpentligvis forstår du bedre nå hvorfor jeg innledningsvis svarte både ja og nei.

Listene som inneholder ubehandlede data som ikke oppfyller oppdatert samtykke i henhold til GDPR, må slettes. Det inkluderer til og med lister som inneholder noen oppdaterte og noen ikke-oppdaterte. Kravet er at alle lister skal ha samtykke som oppfyller kravene til GDPR, og da betyr det alt.

Lookalike Audiences som er basert på ubehandlede lister skal også slettes ettersom dette speilpublikumet er basert på samme liste.

Lookalike Audiences som er basert på lister fra GRDP-compliant CRM-systemer er akseptable. Derfor er det ikke nødvendig å slette disse.

Andre lister, som for eksempel Custom Audiences, som er basert på nettside-url, pixel hendelser eller Page-engasjement trenger foreløpig ikke slettes. Dette er data hvor Facebook er i rollen som behandlingsansvarlig, så selskapet er dermed ansvarlig for at deres data oppfyller GDPR.

Det er uansett anbefalt å ta en prat med deres IT-ansvarlige, webansvarlige, byrå eller vedkommende som er ansvarlig for personvern og data. Finn ut om deres data og kontaktopplysninger oppfyller GDPR sine krav.

Det er dessuten viktig at det er en tydelig personvernerklæring på nettsiden deres, hvis dere bruker Facebook pixel til sporing. Besøkende skal få vite at informasjonen deres kan bli brukt til markedsføring i tredjepartskanaler som Facebook, Linkedin, osv.

GDPR på andre sosiale medier

Om du bruker e-post lister i andre sosiale medier kanaler så vil samme prinsipp gjelde for alle. Uavhengig om kanalen du bruker er i rollen som behandleransvarlig eller databehandler, så må du som sitter på data over personopplysninger sikre at du følger GDPR sine krav.

LinkedIn

Kanalen står i rollen som databehandler, og annonsører som behandleransvarlig. Alle lister som ikke er behandlet med nytt samtykke i tråd med GDPR, må slettes. Brukere/kunder må vite hva de takker ja til, og at de godtar annonser på Linkedin.

Twitter

Har både rollen som behandlingsansvarlig og databehandler uavhengig av situasjon, akkurat som Facebook. Derimot skal det alltid være en gjensidig forpliktelse at data har blitt samlet inn i tråd med GDPR. Alle lister som ikke er behandlet i tråd med GDPR, må slettes. Brukere/kunder må vite at de godtar annonser på Twitter.

Snapchat

På vegne av annonsøren som er behandleransvarlig, vil Snapchat stå i rollen som databehandler. Dermed må behandleransvarlig ha samlet inn data i tråd med GDPR. E-post-lister som ikke er behandlet i tråd med GDPR, må slettes. Det samme gjelder Lookalike Audiences som er basert på disse datalistene. Brukere/kunder må vite at de godtar til annonser på Snaphat.

Til slutt vil vi gjerne poengtere at det å tilpasse seg GDPR er en prosess som varierer fra bedrift til bedrift. Det finnes mange forskjellige former for persondata, verktøyer og styringssystemer som gjør at hver enkelt bedrift må lage en egen tilpasningsstrategi. Dette innlegget bør derfor ikke betraktes som et fasit på hvordan man etterkommer GDPR, men heller som en pekepinn i den riktige retningen.

Lykke til!

Les også: Dette bør du vite om GDPR (Personvernforordningen)

Vil du ha flere nyttige tips om digital markedsføring? Meld deg på vårt nyhetsbrev øverst på denne siden!