Hvilken Påvirkning Har GDPR For Dig Der Annoncerer På Facebook?
Vågner du badet i sved om natten på grund GDPR? Frygter du at dine Facebook-annoncer kan udløse en kæmpe bøde, selvom du synes du har gjort alt det rigtige?
Så kan vi berolige dig. Facebook har nemlig selv implementeret store dele af GDPR direkte i deres platform! Du skal også tænke på, at vi på Facebook sjældent behandler rigtigt tunge persondata – f.eks. CPR-numre, journaler, kontooplysninger og så videre.
I starten af 2018 skrev Facebook et blogindlæg om deres implementering af GDPR, og her gengiver vi deres vigtigste pointer.
Facebooks egen implementering af GDPR:
Folkene bag verdens største sociale medie har offentliggjort at Facebook vil 1) bliver mere transparent end tidligere, 2) give brugerne større kontrol over deres egne data, 3) tage større ansvar for sikkerheden på platformen, og sørge for at reglerne overholdes til punkt og prikke.
Transparens
Facebook har offentliggjort en omfattende datapolitik, som alle med en internetforbindelse kan få adgang til. Med andre ord ønsker de at være så transparente som muligt omkring deres databehandling. For det andet vil de oftere (og på en mere synlig måde) gøre brugerne opmærksomme på hvordan deres data bruges.
Kontrol
Facebook har givet deres brugere større indblik i brugen af deres data. Log ind på Facebook, klik på den nedadvendte pil øverst til højre og vælg ”Indstillinger”. Her er der en række undermenuer, hvor du kan få indblik i (samt administrere) hvordan dine data bruges.
Ansvar
Facebook har (i det tidligere omtalte blogindlæg) lovet, at de vil inddrage en masse fageksperter, når det kommer til vurderingen af deres databehandling. De vil modtage feedback fra “regulators, policy makers, privacy experts and academics” og justere deres platform derefter, så den er så GDPR-venlig som overhovedet muligt.
Du kan altså godt allerede nu ånde lettet op, for Facebook har taget ansvar for langt størstedelen af implementeringen af GDPR på deres platform. De har endda også fjernet nogle målretningsmuligheder som var i strid med den nye lovgivning. Derudover skal det nævnes, at Facebook anonymiserer og krypterer brugernes data, så der er meget begrænset adgang til direkte personfølsomme oplysninger, med mindre vi snakker om de emails og telefonnumre (med mere), du indsamler når du laver lead-annoncer. Facebook har altså sørget for at det er nemt for dig, som GDPR-bevidst annoncør, at bruge deres platform. Men hvad skal du selv gøre for at være helt dækket ind?
Generelle GDPR-Regler
Selvom Facebook har bygget mange af lovændringerne direkte ind i deres platform, minder de i blogindlægget om, at vi ikke må glemme vores eget ansvar i fht. GDPR. For nu at gengive nogle af GDPR’s mest centrale regler uden at gå for meget i dybden, skal du altså:
a) Oplyse hvilke data du indsamler (telefonnummer, navn, adresse etc.)
b) Oplyse hvordan disse data skal bruges (f.eks. til at vise Facebookannoncer til personerne).
c) Oplyse om hvem der får adgang til disse data (f.eks. dig, dit Facebookbureau og Facebook).
d) Enten have direkte samtykke, eller have en ”legitim interesse” for dataindsamlingen (kort fortalt vil dette blot sige, at du kan argumentere for at det er relevant at vise annoncer til disse personer).
* Selve din opbevaring og viderelevering af disse data skal selvfølgelig også leve op til GDPR, men det tager vi som en selvfølge i dette indlæg.
Som sagt er ovenstående punkter nogle helt generelle GDPR-regler. Det betyder også at du allerede er over halvvejs, hvis du i forvejen har en sund GDPR-praksis i din virksomhed. Vi kan sammenfatte de fire ovenstående punkter i følgende overskrifter:
a) Data-type
b) Data-anvendelse
c) Data-behandlere
d) Samtykke eller interesse
Hvis du indsamler folks data direkte via Facebook, vil det typisk være via et Lead Post. Første gang du laver en lead-indsamling via Facebook, skal du ind og ”skrive under” på en erklæring om at du tager ansvar for databehandlingen. Udover at din opbevaring af de indsamlede data skal være GDPR-compliant, skal selve dataindsamlingen selvfølgelig også være lovlig. Lad os derfor gennemgå de fire ovenstående punkter i fht. lead posts:
Lead Posts:
A) Data-Type:
I lead-annoncer oplyser du automatisk om hvilke data du indsamler. Dette fremgår nemlig tydeligt af selve lead-formen, som popper op når folk klikker på annoncen.
B) Data-Anvendelse:
Når du laver dit lead post i Ads Manager, linker du til din datapolitik. I denne politik skal du skrive hvad folks data skal bruges til. Din datapolitik kan ligge som en underside på dit website, hvor din GDPR-politik fremgår.
C) Data-Behandlere:
Det fremgår direkte af lead-formen at Facebook også vil bruge dataen. Derfor skal du blot skrive i ovenfor nævnte data-politik hvem der ellers har adgang til dataen (dig, dit Facebookbureau).
D) Samtykke:
Når folk klikker på den blå knap, har de samtykket til at give dig dine data.
Hvis du har en fyldestgørende datapolitik at linke til, kan du altså roligt lave lead-annoncer. Men hvad så når man vil uploade alle tilmeldte på ens nyhedsbrev direkte til Facebook, for at målrette mod disse personer?
Custom Audiences:
Brugerdefinerede målgrupper (Custom Audiences) er de målgrupper, du selv opretter, når du f.eks. uploader et regneark med navne, telefonnumre og emails, hvorefter Facebook matcher disse info med deres brugere.
Det siger sig selv at du skal have overholdt GDPR’s regler i selve indsamlingen af disse data. Hvis du f.eks. i indsamlingen
- har oplyst om at du har gemt folks navn, email og by,
- har oplyst om at disse data uploade i Facebook, så du kan vise folk Facebookannoncer
- har oplyst om at Facebook samt dit Facebookbureau har adgang til disse data
- har fået folks samtykke til at du gemmer deres data.
… så er du godt kørende.
Upload
Det sidste du mangler, er nu at uploade din liste i Facebook. Når du gør dette, skal du erklære overfor Facebook, at du har taget ansvaret. Det sker ved at du aktivt trykker på en knap, og dermed godkender at du har ret til at bruge disse data, ved at trykke på en knap. Du skal ligeledes oplyse om du har disse persondata fra personerne selv, om du har fået dem overdraget fra en samarbejdspartner (f.eks. dit Facebookbureau), eller en blanding af disse to.
Hvis du altså allerede har en sund GDPR-praksis i din virksomhed, og er OBS på at oplyse folk om hvordan du bruger deres data på Facebook under dataindsamlingen, så er du godt dækket ind.