Tillbaka till bloggens startsida

Sociala medier och GDPR

21 juli 2023

Sociala medier används ofta till riktad marknadsföring. Detta väcker frågor om vem som är personuppgiftsansvarig för de olika inblandade databehandlingarna, och om det är möjligt att undvika ansvar. Typiskt sett är nämligen flera aktörer involverade. I detta blogginlägg förklarar vi vilka roller en leverantör av sociala medier och en riktad marknadsförare spelar, samt reder ut vilket ansvar respektive aktör har.

 

Vem är vad?

Leverantör av sociala medier: leverantören av en social medietjänst bestämmer vilka personuppgifter som ska behandlas och i vilket syfte. Leverantören bestämmer också hur personuppgifterna ska behandlas. Leverantörer av sociala medier har möjlighet att samla in stora mängder personuppgifter.

 

Riktad marknadsförare: Riktade marknadsförare använder sig av sociala medier för att utifrån specifika kriterier rikta särskilda budskap till användare. Riktade marknadsförare kan vara varumärken, politiska partier, ideella organisationer med flera – i princip vilken typ av organisation som helst. Den riktade marknadsföringen kan exempelvis ske genom en ”banner” som syns högst upp på hemsidan eller att en särskild ruta visas i användarens ”flöde”.

 

Profilering: riktad marknadsföring mot användare av sociala medier innefattar ofta profilering. Profilering innebär automatisk behandling av personuppgifter, i syfte att bedöma vissa personliga egenskaper hos en person.1 . Det finns mer att läsa om profilering i vårt tidigare blogginlägg.

 

Riktad marknadsföring genom sociala medier

Många leverantörer av sociala medier erbjuder tjänster för riktad marknadsföring. Marknadsföringen kan riktas utifrån information som samlats in mer eller mindre öppet. Vissa personuppgifter har användaren lämnat på sånt sätt att den bör kunna lista ut hur uppgifterna används (t.ex. om den valt favoritfilm bör den inte bli alltför förvånad över riktad reklam inom samma genre) . I många fall skapas dock personuppgifter utifrån informationsinsamling och slutsatser som leverantören av den sociala medietjänsten gör bakom kulisserna och mindre uppenbart, exempelvis där den drar slutsatser om användaren baserat på umgängeskrets eller vilka inlägg den lagt mest tid på att läsa. Riktad marknadsföring via sociala medier kan också bygga på så kallade customer audiences, där användaren utefter vissa mer eller mindre dolda kriterier grupperas med andra användare och förväntas följa samma köp- och beteendemönster. Om du som användare av förknippas med en grupp människor (denna bedömning görs enligt kriterier satta av det sociala mediet eller dess kunder) med vissa åsikter kan du alltså få riktad reklam för produkter som denna grupp visat köpintresse för. GDPR:s informationskrav ser av detta själ olika ut för uppgifter du själv lämnat och uppgifter som samlats in eller skapats utan din uppenbara vetskap. Eftersom informationskravet faller på den personuppgiftsansvarige är det ännu en anledning att reda ut vem (spoiler: eller vilka) som har denna roll.

 

Att personuppgifter från olika källor kombineras och analyseras skapar ytterligare risker för fysiska personers grundläggande fri- och rättigheter. Dessa risker görs än större av att det ofta saknas information om hur riktad marknadsföring går till. Dessutom har användare ofta bristande möjligheter att själva påverka hur deras personuppgifter används inom riktad marknadsföring. Vi rekommenderar därför att leverantörer och riktade marknadsförare ser över sina tjänster med detta i åtanke. Därigenom kan ni säkerställa att ni faktiskt informerar användare om hur deras personuppgifter används, samt undvika att behandla personuppgifter på ett sätt som strider mot GDPR.

 

I detta blogginlägg är fokus på GDPR. Det är dock viktigt att uppmärksamma att EU:s direktiv om integritet och elektronisk kommunikation också kan vara tillämpligt.2 Till exempel blir artikel 5.3 i direktivet aktuell när spårningstekniker används, alltså att användarens samtycke till spårningen måste ges inte bara innan uppgifterna får användas för riktad marknadsföring utan för att ens samlas in till att börja med.

 

Exempel på roller och ansvarsområden

Förhållandet mellan två juridiska personer som är inblandade i en personuppgiftsbehandling kan se olika ut. De kan båda vara enskilt personuppgiftsansvariga, gemensamt personuppgiftsansvariga, en personuppgiftsansvarig och ett personuppgiftsbiträde, eller två personuppgiftsbiträden (som i sin tur endast behandlar uppgifterna för en annan, personuppgiftsansvarig). Ni kan läsa mer om detta här. Vi kommer nu att ge några exempel i förhållande till de olika möjliga situationerna.

Exempel 1: När en fansida skapas på Facebook kan administratören och Facebook ses som gemensamt personuppgiftsansvariga för sidan. De behöver dock inte vara gemensamt ansvariga för samtliga behandlingar som görs där. Administratören kan till exempel använda sig av filter för att avgöra vilka kriterier sidans statistik ska bygga på. Nivån på respektive aktörs ansvar kan därför variera. Se vidare C-210/16 Wirtschaftsakademie.

Exempel 2: En webbplatsoperatör som bäddar in en ”plugin” för en sociala medier på sin webbplats kan vara personuppgiftsansvarig. Detta beror på att personuppgifter kopplade till webbplatsens besökare skickas till leverantören av sociala medier via ”plugin”-funktionen. Precis som i det första exemplet är webbplatsoperatörens ansvar begränsat. Webbplatsoperatören är endast ansvarig för de personuppgiftsbehandlingar som han eller hon faktiskt kontrollerar ändamålen och medlen för. EU-domstolen har kommit fram till att webbplatsoperatören inte har något ansvar för de behandlingar leverantören av sociala medier använder personuppgifterna till efter överföringen. Webbplatsoperatören kan nämligen inte bestämma hur och varför personuppgifterna behandlas när de väl har överförts (se vidare C-40/17 Fashion ID).

 

Några av aktörernas ansvarsområden

 

1. Laglig grund

Om ni är gemensamt personuppgiftsansvariga måste båda aktörer (till exempel leverantören av sociala medier och administratören på en fansida eller en webbplatsoperatör) ha en laglig grund för personuppgiftsbehandlingen. Den lagliga grunden måste vara lämplig för den aktuella behandlingen. Ni kan läsa mer om lagliga grunder i ett tidigare blogginlägg. I de flesta fall av riktad marknadsföring på sociala medier är samtycke eller berättigat intresse lämpliga. I vissa fall är samtycke det enda alternativet, till exempel vid profilering som innebär ett intrång i den personliga integriteten.

Om den lagliga grunden berättigat intresse används är det viktigt att gemensamt personuppgiftsansvariga tydliggör hur de ska tillgodose registrerades rätt att invända mot personuppgiftsbehandlingen 3, samt att det berättigade intresset föregåtts av en dokumenterad intresseavvägning.

När samtycke används som laglig grund är det viktigt att tänka på följande faktorer:

  • Giltigt samtycke måste inhämtas innan behandlingen påbörjas.
  • Gemensamt personuppgiftsansvariga har var och en ansvar för att se till att giltigt samtycke till behandlingen finns, även om det rent praktiskt kan ske genom en parts försorg enligt gemensam överenskommelse.
  • Den registrerade måste kunna vägra eller ta tillbaka sitt samtycke utan negativa konsekvenser.
  • När flera personuppgiftsansvariga använder sig av samtycke som laglig grund, ska varje personuppgiftsansvarig namnges.

Vid riktad marknadsföring på sociala medier ska det vara enkelt för användare att få tillgång till information om behandlingen av deras personuppgifter och dess möjliga konsekvenser, samt om vilka kriterier som används för att rikta marknadsföringen.

 

2. Konsekvensbedömningar

I en situation med gemensamt personuppgiftsansvariga har båda aktörer ansvar för att undersöka om personuppgiftsbehandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Denna bedömning ska göras innan behandlingen påbörjas. Om behandlingarna bakom riktad marknadsföring sannolikt leder till en hög risk måste dessutom en konsekvensbedömning göras. I vissa fall måste behandlingens konsekvenser alltså undersökas närmare och vid behov minimeras genom aktiva insatser. Så kan vara fallet när en produkt ska riktas mot sårbara personer. Båda personuppgiftsansvariga måste bedöma om en konsekvensbedömning krävs. Om någon av dem kommer fram till att en konsekvensbedömning är nödvändig, har de ett gemensamt ansvar för att fullgöra detta krav. Det går dock bra att sinsemellan komma överens om att en av dem ska utföra konsekvensbedömningen. I tidigare blogginlägg har vi förklarat när en konsekvensbedömning krävs, och hur en konsekvensbedömning ska utföras.

Frågor?

Om du har fler frågor om GDPR är du varmt välkommen att kontakta oss antingen via mejlen info@gdprhero.se eller via telefon 046-273 17 17.

Sofia Wallin 

info@gdprhero.se

046-2731717

 

 

 

 

Fotnoter

  1. Artikel 4.4 GDPR
  2. Se Europaparlamentets och rådets direktiv 2002/58/EG
  3. Se artikel 21.1 GDPR.
Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Vill du få en notis när nästa blogginlägg publiceras?