Annonsera mot e-postadresser på Facebook – är det lagligt?

Att annonsera mot e-postadresser på Facebook är effektivt. Samtidigt får vi ofta frågan om man verkligen får göra så. Vi har tagit hjälp av juristen Anna Ersson för att reda ut frågan.

Att GDPR ersätter PUL den 25 maj 2018 har väl knappt lyckats gå någon förbi (stämningen känns lite som inför Y2K). Jag har varit på några föreläsningar om GDPR, denna ena mer förvirrande än den andra.

Under Emeet i år föreläste Anna Ersson om GDPR och mina kollegor som var där berättade att det var en riktigt bra föreläsning och att Anna lyckades med konststycket att göra GDPR begripligt för oss lekmän.

När jag hörde om Annas föreläsning, kontaktade jag henne för att fråga om hon ville svara på en annan vanlig legal fråga vi får. Nämligen vilka regler som gäller när man annonserar mot e-postadresser på Facebook.

Att använda Facebooks funktion för anpassade målgrupper och exempelvis skapa en målgrupp av dina kunders e-postadresser är ofta en mycket effektiv och lönsam målgrupp. Men är det lagligt?

Anna Ersson är jurist på Advokatfirman Delphi där hon är expert på dataskydd/GDPR, marknadsrätt och konsumentfrågor och här följer mina frågor till henne:

Anna, att skapa målgrupper utifrån e-postadresser är ett populärt sätt att annonsera på Facebook. Får man som företag ladda upp och annonsera mot e-postlistor på Facebook hur som helst?
– Eftersom e-postadresser är en personuppgift gäller personuppgiftslagen (PuL) och från och med den 25 maj 2018 dataskyddsförordningen (GDPR). GDPR innebär en hel del förändringar för alla företag som behandlar personuppgifter, speciellt eftersom brott mot reglerna kan innebära risk för böter upp till 4 % av omsättningen eller 20 miljoner euro.

Själva uppladdningen av e-postlistan kan strida mot reglerna beroende på vilken information som kunden har fått när dess uppgifter samlades in och beroende på om samtycke har inhämtats. Varje företag måste göra en bedömning i varje enskilt fall utifrån sina förutsättningar och beroende på vilken typ av data det rör sig om och hur den har samlats in.

Vad krävs det för att det ska vara tillåtet att annonsera på detta sätt?
– För att överföra en kundlista till Facebook krävs det att företaget har en laglig grund för överföringen. Vad som krävs för att använda dessa typer av tjänster är dock inte prövat och tyvärr inte helt klart. Enligt min bedömning är det mest sannolika att kundens samtycke behöver inhämtas.

Möjligen kan företag istället för att inhämta ett samtycke stödja sig på en så kallad intresseavvägning, men det är inte helt klart. Enligt min bedömning går det att argumentera för det i vissa fall, men det är tveksamt om det skulle hålla vid en prövning. Vill ni vara helt säkra på att följa PuL och GDPR bör ett samtycke från kunden därför inhämtas.

Oavsett vilken laglig grund som företaget stödjer sig på är det viktigt att kunden har fått korrekt information om överföringen – det ställs höga krav på att företaget ska vara transparent i sin kommunikation. Kunden ska förstå hur personuppgifterna behandlas och få information om sina rättigheter, t.ex. rätten att invända mot behandlingen och att återkalla sitt samtycke.

När Facebook behandlar ett företags kundlistor för företagets räkning behöver dessutom ett personuppgiftsbiträdesavtal ingås. Detta eftersom Facebook behandlar uppgifter om företagets kunder för företagets räkning.

Kan du ge några bra exempel på hur man som annonsör kan skaffa samtycke att använda en e-postadress på detta sätt?
– Ett samtycke kan inhämtas både muntligt och skriftligt, men ett skriftligt samtycke är oftast enklare att bevisa. Det kan t.ex. inhämtas genom att kunden klickar i en kryssruta på företagets webbplats. Samtycket ska vara klart och tydligt och läggas fram på ett sätt som kan särskiljas från andra frågor i en begriplig och lätt tillgänglig form. Det betyder att samtycket inte kan ”bakas in” i företagets allmänna villkor, utan ska lyftas fram separat på ett tydligt sätt.

Samtycket måste dessutom vara frivilligt. Det får därför inte vara tvingande för kunden att klicka i kryssrutan. Tänk även på att alltid lämna korrekt information i samband med samtycket. Det görs vanligtvis i en så kallad integritetspolicy eller personuppgiftpolicy som finns tillgänglig i anslutning till kryssrutan.

Jag rekommenderar alla företag att alltid anlita en jurist med kunskap om GDPR vid formuleringen av samtycket och policyn. På så sätt säkerställer företaget att de samtycken som kunderna lämnar uppfyller lagens krav och att företaget har ett lagligt stöd för att behandla kundens personuppgifter på det sätt som avses.

Spelar det någon roll om man annonserar mot privatpersoner eller företag på Facebook?
– Uppgifter om ett företag, d.v.s. en juridisk person, är som utgångpunkt ingen personuppgift. Vid överföring av kundlistor med endast företagsuppgifter gäller därför varken PuL eller GDPR. I sådana fall behövs ingen laglig grund för överföringen till Facebook. Om kundlistorna innehåller e-postadresser till kontaktpersoner hos företag, t.ex. anna.ersson@delphi.se, är uppgiften däremot en personuppgift.

Det finns en något större möjlighet att behandlingen är tillåten utan samtycke vid marknadsföring till yrkespersoner. Detta för att det typiskt sett anses mindre integritetskänsligt att få sina personuppgifter behandlade i sin yrkesroll än som privatperson.

Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.

Tänk på att marknadsföringen till personer i sin yrkesroll dock måste uppfylla vissa krav, t.ex. måste det kommersiella meddelandet vara relevant för mottagarens yrkesroll.

Ligger allt ansvar på mig som annonsör, eller har Facebook något ansvar att lagar och regler efterföljs?
– Även Facebook har ett ansvar för att lagar och regler efterföljs. Facebook ansvarar t.ex. själva för att följa PuL och GDPR för deras egen behandling av personuppgifter.

Enligt GDPR får Facebook dessutom ett ökat ansvar för att följa reglerna när de bara behandlar personuppgifter för något annat företags räkning (så kallat personuppgiftsbiträde). En av nyheterna i GDPR är att personuppgiftsbiträden (så som t.ex. leverantörer och reklambyråer) får ett ökat ansvar för att självständigt följa reglerna.

Vilka övriga lagar och regler behöver man som annonsör ta hänsyn till på Facebook?
– Förutom PuL och från och med den 25 maj 2018 GDPR behöver företag ta hänsyn till marknadsrättsliga regler. En annons får t.ex. inte vara vilseledande enligt marknadsföringslagen och om annonsören vill använda någons namn eller bild är det viktigt att följa lag om namn och bild i reklam. Dessutom finns det en rad andra lagar och regler som kan bli tillämpliga i vissa fall, t.ex. varumärkeslagen och upphovsrättslagen.

På vissa områden finns det dessutom särskilda regleringar, t.ex. alkohollagen, tobakslagen och läkemedelslagen. Tänk även på att ange priset i annonsen på rätt sätt enligt prisinformationslagen och om företaget har en egen Facebook-sida finns det en lag för elektroniska anslagstavlor.

Utöver dessa lagar finns det även uppförandekoder och etiska regler för marknadsföring som har tagits fram av ICC och Swedma.

Om behandlingen avser uppgifter om personer i andra länder eller om annonsen riktar sig till personer utanför Sverige kan det dessutom finnas motsvarande lagar i andra länder som annonsören bör ta hänsyn till.

Tack, Anna!

9 kommentarer på "Annonsera mot e-postadresser på Facebook – är det lagligt?"

  1. ”Ett exempel på det är att det enligt nuvarande regler är tillåtet att skicka marknadsföring via e-post till en person i sin yrkesroll utan att personen har haft en kundrelation med företaget eller har samtyckt till marknadsföringen. Det är aldrig tillåtet i förhållande till privatpersoner.”

    Gäller detta även när GDPR träder in?

    /Mikael


  2. Är det andra regler som gäller när man bara skapar en målgrupp baserat på ort, ålder, intressen osv.? Dvs där man inte använder epost-adresser.


  3. Martina,

    Tack för din kommentar. Ja, det är annorlunda för i detta fall vet du inte vem du annonserar mot och du för heller inte över någon form av kunddata till Facebook. Här är upp till Facebook att se till att lagar och regler efterföljs.


  4. Emelie,

    Bra fråga. Jag vill börja med att säga att jag inte är en jurist eller GDPR-specialist så ta mitt svar för vad det är.

    Min uppfattning är att ingen säkert vet vad som gäller just i denna fråga. Vilket inte är så konstigt då GDPR är nytt och inte prövat ännu.

    Frågan gällande retargeting och GDPR gäller ju främst hur man använder sig av cookies. Det som är fakta är att i GDPR-förordningen nämns cookies vid ett enda tillfälle. Tanken har varit att en annan EU-förordning, e Privacy, skulle börja gälla samtidigt som GDPR.

    Denna förordning skulle i större utsträckning än GDPR behandla just cookies. Dock har e Privacy blivit försenad och många verkar vänta på denna för bättre vägledning vad som gäller gällande cookies.


  5. ”Är det andra regler som gäller när man bara skapar en målgrupp baserat på ort, ålder, intressen osv.? Dvs där man inte använder epost-adresser.”

    Så fort du skapar något där en individ kan identifieras på något sätt gäller GDPR. Finns det bara en Nisse Karlsson i en ort, så kan Nisse identifieras. Finns det bara en Peter Svensson i Sverige som är född 1987 kan Peter identifieras.

    Tvärtemot ovan behöver en epostadress inte nödvändigtvis innebära en identifiering. Men som du kan se, kommer säkert någon post eller flera i ett register innebära en identifiering, så det är lika bra att alltid betrakta ett register över levande personer som ett personregister.

    Det är inte olagligt att upprätta ett personregister om det finns ett legitimt skäl till det. Det finns förbud att upprätta personregister om syftet t.ex. är att registrera brottslingar, politisk tillhörighet eller liknande.

    GDPR är väldigt upphausat och många är rädda att göra fel. Registrering av personuppgifter har alltid krävt godkännande. GDPR tillför att det ska upplysas ordentligt hur en personuppgift behandlas av den som har registret och att den som är registrerad ska kunna få ut i princip allt som finns registrerat och hur det har behandlats.

    Jag skulle nog konspiratoriskt kunna påstå att GDPR:s främsta syfte är att öka möjligheten för staten och myndigheter att snoka i företags eller andra organisationers personregister.


Kommentarsfältet är stängt.