Sociala medier är idag en integrerad del av många människors vardagliga liv.
Här umgås och delar vi händelser med våra vänner, läser nyheter, roas av underhållande klipp eller blir inspirerade av olika ämnen.
Att företagens marknadsföring flyttat in på de sociala medierna för att stanna är därför inte särskilt konstigt, då det visat sig vara både enkelt och lönsamt att genom sociala medier snabbt nå en relevant målgrupp. Men så var det ju det här med GDPR …
… För att målgruppen, som företag riktar sin marknadsföring mot på sociala medier, ska vara just relevant krävs att en hel del personuppgifter behandlas. Behandlingarna kan ge upphov till en del frågetecken och risker. Vem är det som ansvarar för behandlingen som sker på sociala medier? – är det företaget eller den sociala medie-plattformen? Eller båda? Vad innebär ansvaret och hur långt sträcker det sig? Vilka risker är förenade med insamlingen och behandlingen på sociala medier? I den här artikeln vill vi belysa ett par GDPR-frågor som varje bolag bör känna till när det gäller sociala medier och marknadsföring och även förse er med några svar och tips på hur ni bör tänka och resonera kring dessa frågor.
I den här artikeln går vi igenom följande frågor:
- En introduktion av personuppgiftsansvaret enligt GDPR
- Personuppgifter på sociala medier
- Rollfördelning enligt GDPR vid användning av sociala medier
- Riktad marknadsföring
- Företagssidor på sociala medier
- Take-aways relevanta för er som företag
Personuppgiftsansvar – en introduktion
Personuppgiftsansvarig enligt GDPR är den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som bestämmer ändamål och medel för personuppgiftsbehandlingen. Annorlunda uttryckt; En personuppgiftsansvarig är den som bestämmer varför personuppgifterna behandlas och hur de behandlas.
Rollen som personuppgiftsansvarig kan innehas antingen självständigt eller gemensamt med en annan aktör. Om två företag samarbetar och samarbetet inkluderar någon form av personuppgiftsbehandling, är det av vikt att parterna tillsammans definierar sina roller i behandlingen. Vem bestämmer vilka uppgifter som ska behandlas och hur länge? Vem utför själva behandlingen? Vem tar vilket ansvar? Hur informeras de registrerade? osv. osv. I en samarbetssituation kan parterna antingen vara självständigt personuppgiftsansvariga, det vill säga att var och en ansvarar för sin egen personuppgiftsbehandling, eller gemensamt personuppgiftsansvariga då parterna har gemensamma ändamål och därmed ett gemensamt ansvar. Om den ena parten har bestämt ändamål och medel med behandlingen (och därmed agerar som personuppgiftsansvarig) medan den andra parten bara hjälper till och behandlar personuppgifterna för den personuppgiftsansvariges räkning, uppstår i stället ett personuppgiftsbiträdesförhållande. Då agerar den andre parten som personuppgiftsbiträde åt den personuppgiftsansvarige. Ett personuppgiftsbiträde är alltså den part som bistår eller hjälper den personuppgiftsansvariga i en viss personuppgiftsbehandling, utan att själv bestämma ändamål och medel med behandlingen. Rollbestämningen är, som framgår ovan, beroende av vem som bestämmer varför och hur personuppgifter behandlas.
Sociala medier och personuppgifter
Många sociala medie-företag (såsom Facebook, Instagram och liknande) är uppbyggda på ett sätt där insamling av en stor mängd personuppgifter är en grundläggande del av företagets affärsmodell. Sociala medie-företagets värde och konkurrenskraft bygger på bland annat innehavet av demografisk information, internetbeteende, kontaktnät, köpmönster och liknande uppgifter som samlats in genom bland annat gratistjänster för användarna. Genom insamling av information på detta vis skapar sociala medie-företagen en möjlighet att analysera användares vanor och beteende på internet, vilket gör dem attraktiva när det kommer till marknadsföring. Detta eftersom sociala medie-företagen på så vis har möjlighet att tillhandahålla tjänster som riktad marknadsföring, profilering, kundsegmentering och liknande.
På grund av att marknaden för sociala medier är så pass komplex i relation till GDPR samt att företag inte alltid är tydliga med vilken data de samlar in och hur datan sedan används, har dessa sociala medie-företag varit fokus för tillsynsmyndigheter i Europa. Det pågår en rad olika tillsynsärenden runt om i Europa med anledning av just detta. Företag bör på grund av det särskilda fokus som riktas mot sociala medie-företag, vara extra varsamma när det kommer till gemensamt personuppgiftsansvar vid samarbeten med sådana företag. Detta utöver den försiktighet som redan naturligt bör vidtas genom det egna personuppgiftsansvaret, i form av noggrann dokumentation, tillämpliga avtal och information till registrerade etc. Ansvaret mellan det egna företaget och en eventuell samarbetspartner bör fördelas och hanteras på korrekt sätt i enlighet med GDPR.
Företag som är gemensamt personuppgiftsansvariga ihop med sociala medie-företag bör vara uppmärksamma på följande; samlar samarbetspartnern in uppgifterna på ett korrekt sätt i enlighet med GDPR? Är de transparenta gentemot användare avseende vilken data som samlas in och hur den ska användas? Har sociala medie-företaget en laglig grund för behandlingen?
Rollfördelning vid marknadsföring på sociala medier
Precis som nämnt tidigare i artikeln, så kan ett gemensamt personuppgiftsansvar uppstå mellan två företag om parterna har gemensamma ändamål med behandlingen. Det kan därför uppstå ett gemensamt personuppgiftsansvar mellan ett företag och ett sociala medie-företag om företaget i fråga interagerar med ett sociala medie-företag, som exempelvis Facebook.
Frågan kring gemensamt personuppgiftsansvar berörs bland annat i en dom från EU-domstolen från 2018 (se EU-domstolen 2018-06-05 mål C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein mot Wirtschaftsakademie Schleswig-Holstein GmbH). EU-domstolen fastställde i domen att det föreligger ett gemensamt personuppgiftsansvar vid användning av Facebooks analysverktyg genom en ”fanpage”. Detta då man som företag definierar parametrar som baserats på målpubliken och administrerar och förespråkar aktiviteter, vilket innebär att man bör anses ha en del i bestämmandet av ändamålet för behandlingen av personuppgifterna avseende besökarna på fanpagen.
Under 2019 klargjorde EU-domstolen också att det gemensamma personuppgiftsansvaret även gäller i situationer där företag använder sig av så kallade ”plugins”, då man klickar på en symbol för att antingen gilla eller komma till en Facebooksida (se EU-domstolen 2019-07-29 mål C-40/17, Fashion ID GmbH & Co. KG mot Verbraucherzentrale NRW eV). Domstolen bedömde att företaget som använde sig av Facebook-plugins hade ett gemensamt personuppgiftsansvar tillsammans med Facebook vad gällde insamlingen och avslöjandet av data till Facebook. Företagets ansvar begränsades dock till denna specifika behandling. Behandlingar som skedde därefter av Facebook var de två företagen inte gemensamt personuppgiftsansvariga för. Domstolen tydliggjorde att företag enbart kunde vara ansvariga för de behandlingar som de bestämde ändamål och medel för.
Det gemensamma personuppgiftsansvaret uppstår alltså inte enbart när flera personuppgiftsansvariga gemensamt kommer överens om en behandling, utan ansvaret sträcker sig längre än så. Om företag inte är uppmärksamma på hur rollerna i personuppgiftshanteringen ska fördelas, riskerar företag att deras behandlingar strider mot GDPR. I förordningen finns nämligen krav vad gäller exempelvis inbördes arrangemang mellan två parter som är gemensamt personuppgiftsansvariga, vilket företag måste ta i beaktning och om funktioner likt de som beskrivs ovan används bör det säkerställas att rätt villkor signerats med sociala medie-företaget.
Varje personuppgiftsansvarig har egna krav på sig enligt GDPR, och därmed regleras inte samtliga skyldigheter genom detaljavtal parterna emellan. Därför är det viktigt för företag som samarbetar att vara uppmärksamma på både sitt eget och den samarbetande partens personuppgiftsansvar, så att man som ansvarig uppfyller ansvarsskyldigheten både som personuppgiftsansvarig i enlighet med artikel 5.2 GDPR och som gemensamt personuppgiftsansvarig enligt artikel 26 GDPR.
Användning av riktad marknadsföring
När företag använder sig av sociala medie-företag för hjälp med riktad marknadsföring finns det typiskt sett tre olika parter inblandade. Parterna är generellt användaren av sociala medier, sociala medie-företaget och företaget som använder sig av sociala medier för att rikta sin marknadsföring. Det sociala medie-företaget tillhandahåller tjänstens olika funktioner och riktar marknadsföringen till användarna som i sin tur besöker sociala medie-plattformen som gäst.
Att identifiera rollfördelningen i samband med personuppgiftsbehandling i förhållande till riktad marknadsföring är inte helt okomplicerat. Primärt bör man dock göra en bedömning kring vilken part (alternativt vilka parter) som bestämmer ändamål och medel för behandlingen. Som hjälp har Europeiska dataskyddsstyrelsens (EDPB) tagit fram en vägledning om riktad marknadsföring, där det bland annat presenteras ett antal fiktiva exempel.
Ett av de exempel som presenteras i vägledningen berör pixelbaserad marknadsföring och en situation då en användare besöker en hemsida för att köpa en ryggsäck, men lämnar webbplatsen utan att genomföra köpet. Webbplatsen använder sig av en så kallad ”tracking pixel” som tillhandahålls av ett sociala medie-företag och som riktar marknadsföring mot just användare som besökt webbplatsen utan att ha genomfört ett köp. På grund av att användaren tittat på en ryggsäck på en webbplats som använder sig av en sådan tracking pixel kommer användaren mötas av reklam för de ryggsäckar användaren tittat på, när personen senare besöker sina konton på sociala medier.
Vem ansvarar då för de personuppgifter som samlas in i detta exempel? Innehavaren av webbplatsen har placerat en tracking pixel på sin webbplats och genom denna pixel överför data till sociala medie-företagen. Därmed blir innehavaren personuppgiftsansvarig, då denne har ett avgörande inflytande över behandlingen. Detta då datan inte hade överförts om det inte vore för innehavarens beslut att placera pixeln på webbplatsen. Dock uppkommer i detta fall ett gemensamt personuppgiftsansvar, då sociala medie-företagen även är ansvariga på grund av sitt möjliggörande av automatisk insamling, analys och utvärdering av uppgifter. Därmed måste företagen gemensamt säkerställa att behandlingen är förenlig med GDPR genom att bland annat finna laglig grund för behandlingen och informera besökaren om behandlingen. I det här exemplet rör det sig om en typ av cookie som sätts i användarens webbläsare som kräver samtycke. Eftersom samtycke måste inhämtas innan behandlingen påbörjas så ska samtycket inhämtas av den part som initialt samlar in och behandlar personuppgifterna och som då också ansvarar för att informera användaren.
Rent praktiskt kan det vara svårt att veta när man ska avtala med en annan part och vilket ansvar man har. Teorin kan vara mer lättbegriplig än verkligheten. Större sociala medie-företag som exempelvis Facebook och Instagram kan också vara svårare att avtala gemensamt med, då de redan har rutiner och principer på plats för behandlingar. Man hamnar i vissa fall i en ”take it or leave it”-situation, där man helt enkelt får acceptera de villkor som finns till hands om man vill använda sig av företagets tjänster. Viktigt att tänka på är dock att ni som företag också har ansvar och skyldigheter enligt GDPR – ert ansvar försvinner inte för att er samarbetspartner är beslutsam.
Så, (i) ha koll på vilket ansvar och vilka skyldigheter ni som företag har enligt GDPR och (ii) använd inte tjänster som kan äventyra er GDPR-hantering.
Företagssidor på sociala medier
Många företag använder sig av sociala medier, inte enbart i form av riktad marknadsföring, utan även som en plattform för att nå ut till allmänheten. Även om företagssidan ligger på en social medieplattform så har företaget ett eget personuppgiftsansvar för de personuppgifter och den information som behandlas på företagssidan eftersom det är företaget som bestämt ändamålet och medlen för att behandla personuppgifter på företagssidan. I och med företagets personuppgiftsansvar bör företag utvärdera de personuppgiftsbehandlingar som kan komma att ske på företagssidan och de risker som uppkommer genom ett sådant användande. Eftersom företagssidan också delar information och personuppgifter med sociala medie-företaget måste relationen och rollfördelningen mellan företaget och sociala medie-företaget utvärderas. Som ovan nämnt har EU-domstolen tagit ställning till personuppgiftsansvaret i förhållande till sidor på Facebook. Domstolen tydliggjorde att huvudregeln är att företag som administrerar en sådan sida har ett gemensamt personuppgiftsansvar tillsammans med Facebook. Man kan därmed utgå från att det föreligger en överhängande risk för att ansvaret blir gemensamt vid sådant användande. I vissa fall kan även en konsekvensbedömning behöva göras för att identifiera om behandlingen av uppgifter leder till en hög risk för de registrerades fri- och rättigheter.
Norska tillsynsmyndigheten ”Datatilsynet” har nyligen publicerat en rapport angående sitt beslut kring att inte använda sig av Facebook i sin verksamhet för att nå ut till allmänheten. I rapporten identifieras ett antal risker med användandet av en plattform som Facebook för att nå ut till allmänheten. Risker som berörs är bland annat plattformens eventuella lagringstider, att plattformen kan få tillgång till personuppgifter, systematisk behandling av personuppgifter samt systematisk analys av de registrerade som utförs av plattformen, profilering men även tredjelandsöverföringar (överföring av data till land utanför EES) då Facebook ägs av Meta som är ett amerikanskt bolag.
Det finns således ett antal GDPR-relaterade frågor som uppkommer vid företags användning av sociala medier, vilket medför att företag bör vara särskilt uppmärksamma vid sådan användning.
I praktiken innebär personuppgiftsansvaret vid användning av sociala medier att företag kontinuerligt bör utvärdera vilka tjänster som används, dokumentera vilka behandlingar som utförs samt informera användare kring insamlingen och behandlingen av uppgifter. Det är även av stor vikt att hålla ett öga på vilka uppgifter som publiceras och sprids på företagets sociala medier, då företaget är personuppgiftsansvarig och bär det övergripande ansvaret för samtliga behandlingar.
Våra take-aways
Det kan konstateras att det inte är helt okomplicerat för företag att använda sig av sociala medier i sin verksamhet och för sin marknadsföring. Självklart inte omöjligt, men inte okomplicerat sett ur ett GDPR-perspektiv. Företag som behandlar personuppgifter och bestämmer ändamålen och medlen med behandlingen, är personuppgiftsansvarig och ansvarar därmed för att behandlingen sker i enlighet med GDPR och svensk lagstiftning, vilket innefattar en rad skyldigheter. Bland annat kan nämnas skyldigheterna att endast behandla personuppgifter med laglig grund, informera de registrerade samt tillvarata deras rättigheter, upprätta dokumentation, teckna relevanta avtal med de aktörer som kan komma att behandla uppgifterna samt i vissa fall rapportera till tillsynsmyndigheten.
Vad bör företag tänka på vid användning av sociala medier i sin verksamhet?
(a) Dokumentera de behandlingar som sker och upprätta nödvändig dokumentation och riskbedömningar.
(b) Dokumentera och definiera rollfördelningen mellan företaget och sociala medie-företaget – vilken part har vilken roll och vad medför denna roll i form av ansvar och skyldigheter för er som företag. Innehar företaget rollen som personuppgiftsansvarig och är detta ansvar i sådana fall självständigt eller gemensamt?
(c) Kom ihåg att tröskeln är låg för att ett gemensamt personuppgiftsansvar ska uppstå. Ett sådant gemensamt ansvar kan uppstå enbart genom att företag använder sig av så kallad pixelbaserad marknadsföring.
(d) Säkerställ att behandlingen av personuppgifter hanteras i enlighet med GDPR. I de fall då ett gemensamt personuppgiftsansvar uppstått i och med användning av sociala medier krävs att parterna kommer överens om en transparent plan för att efterleva reglerna i GDPR, särskilt avseende de registrerades rättigheter och hur de fullgörs. Villkoren med de sociala medie-företagen kanske inte alltid är förhandlingsbara och då ställs ytterligare krav på företagets egen riskbedömning och dokumentation.
(e) Tänk på de GDPR-relaterade risker som finns när det kommer till användandet av sociala medier som plattform för att nå ut till allmänheten.
(i) Vilka personuppgifter får sociala medie-företaget tillgång till genom ett företags användande av tjänsten?
(ii) Hur behandlar sociala medie-företaget de uppgifter som de får tillgång till?
(iii) Överförs personuppgifter till tredjeland genom användandet och hur regleras dessa överföringar i sådana fall?
Ett avslutande medskick är att alltid vara vaksam vid användandet av sociala medier inom verksamheten. Handlande i strid med GDPR kan medföra sanktioner för företag. Var transparent med vilka uppgifter som samlas in och varför. Säkerställ laglig grund för behandlingen. Var medveten om vilka tjänster ni använder er av, vilka leverantörer ni har, och vilken roll ni innehar i relation till andra parter. Då är det enklare att fastställa vad denna roll medför för ansvar och skyldigheter. Välj era leverantörer och de tjänster som ni använder i er verksamhet med omsorg. Det vill säga, samarbeta enbart med företag som eftersträvar GDPR-efterlevnad.
Om företag har detta i åtanke och är vaksamma på den komplexa relationen mellan sociala medier och GDPR, är det möjligt för er marknadsföring och plattform att växa fritt genom sociala medier. Då kan absolut sociala medier + GDPR = sant.