Beteendestyrd marknadsföring på rätt sätt

Den pågående skandalen där dataanalysföretaget Cambridge Analytica samlat in data om miljontals Facebook-användare sätter ljuset på beteendestyrd marknadsföring. Å ena sidan handlar det om hur vi marknadsförare riktar vår kommunikation utifrån mottagarens behov, å andra sidan om den personliga integriteten. Missbruk skall givetvis beivras, och det är precis denna sortens händelse som GDPR är till för att skydda oss mot.

Därför är det högaktuellt att titta på vad som gäller med den nya lagstiftningen. I dagens krönika skriver advokat Erik Ullberg från Wistrand Advokatbyrå om just detta.

Personuppgiftsbehandling enligt GDPR

Ingen har kunnat undgå det omfattande informationsflöde som florerar kring EU:s nya Dataskyddsförordning, GDPR, som träder i kraft den 25 maj i år. Förordningen befäster EU:s fokus på integritetsfrågor och innebär kraftigt ökade sanktioner för företag som inte tar reglerna på allvar.

GDPR kommer att ha stor betydelse för alla former av marknadsföring som innefattar behandling av uppgifter om identifierbara fysiska personer, det vill säga personuppgifter. Hit hör förutom självskrivna uppgifter som namn, adress, personnummer, telefonnummer och e-postadress även uppgifter såsom ålder, intressen och preferenser.

Beteendestyrd marknadsföring i fokus

Beteendestyrd marknadsföring som baseras på profilering och automatiserat beslutsfattande är en starkt växande trend för individanpassad marknadsföring. Metoden har dock blivit ifrågasatt av dess integritetshänsyn.

Den kommersiella potentialen i att utforma marknadsföring på individnivå leder också till att de enskildas rättigheter och friheter påverkas i betydande grad, vilket man försöker hantera i GDPR. Bestämmelserna i GDPR kommer därför särskilt att påverka påverka beteendestyrd marknadsföring eftersom denna i regel förutsätter hantering av personuppgifter.

Följ krav och principer och visa på efterlevnad

GDPR utgår från ett antal principer som sedan utkristalliserar sig i mer specifika skyldigheter för personuppgiftsansvariga och rättigheter för registrerade personer. Centralt är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Detta innefattar bland annat krav på att behandling av personuppgifter ska baseras på en rättslig grund, vilket kan vara samtycke, men också någon annan i GDPR angiven grund såsom att behandlingen är nödvändig för att fullgöra ett avtal eller utgör ett berättigat intresse efter en intresseavvägning m.m.

Dessutom har registrerade personer en i förhållande till dagens regler i PUL utökad rätt att få klar och tydlig information om behandlingen.

Den ansvarige för personuppgiftsbehandlingen ska inte bara hantera personuppgifter i enlighet med GDPR:s krav och principer, utan ska även kunna visa att man efterlever GDPR. Om den personuppgiftsansvarige, vilket är vanligt, i samband med marknadsföringen anlitar någon som kommer att behandla personuppgifter för den ansvariges räkning ställs vidare krav på ett skriftligt avtal.

Krav på samtycke

Marknadsföring som riktas direkt till individer behöver inte alltid baseras på samtycke. Under förutsättning att GDPR:s övriga principer och bestämmelser iakttas kan direktmarknadsföring vara tillåten efter en intresseavvägning.

Här ska tilläggas att det ändå kan komma att krävas samtycke från mottagaren av elektronisk direktmarknadsföring (till exempel via e-post, mobil och sociala medier) utifrån marknadsföringslagen, så kallad opt-in. Om det redan finns ett etablerat kundförhållande mellan parterna och den aktuella marknadsföringen rör liknande varor eller tjänster kan man undvika kravet på samtycke.

Uttryckligt samtycke kommer däremot normalt sett krävas för beteendestyrd marknadsföring som innebär profilering och automatiserat beslutsfattande om detta får rättsliga följder eller på liknande sätt i betydande grad påverkar individen. För sådan personuppgiftbehandling gäller alltså utöver GDPR:s grundläggande principer och bestämmelser särskilda krav.

Ett automatiskt beslutsfattande

Automatiserat beslutsfattande är inte uttryckligen definierat i GDPR men har av den rådgivande och oberoende arbetsgruppen Artikel 29-gruppen ansetts omfatta ett beslutsfattande om en individ genom användande av tekniska medel utan mänsklig inblandning.

Ett automatiserat beslutsfattande kan exempelvis ske vid ett automatiserat avslag på en kreditansökan över internet eller vid nekad ansökan om tjänst via internet, förutsatt att beslutet tas utan manuell inblandning.

Profilering och beteendestyrd reklam

Med profilering i GDPR:s mening avses en automatiserad behandling av personuppgifter som utvärderar personliga aspekter kring en fysisk person. Detta kan till exempel avse ekonomisk situation, personliga preferenser, intressen, beteende och så vidare.

Profilering associeras ofta med beteendestyrd reklam, vilket förekommer när marknadsföring sker utifrån digitala spår. Säg att du exempelvis sökt på ordet ”trötthet” och därefter blir exponerad för marknadsföring om energidrycker med hög koffeinhalt.

Enligt GDPR har individen som utgångspunkt rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar individen. Vidare har enskilda personer rätt att när som helst motsätta sig behandling av personuppgifter för direktmarknadsföringsändamål, eller profilering som sker för ett sådant ändamål.

Avgörande faktorer enligt vägledning

Artikel 29-gruppen publicerade i höstas en vägledning som fastslogs den 6 februari 2018 och som förtydligar hur förordningens reglering om automatiserat beslutfattande och profilering ska tolkas.

Vad som avses med liknande sätt som i betydande grad påverkar individen är inte helt klart men har i någon mån förtydligats i vägledningen. Det anges där i att subjektiva faktorer kan påverka bedömningen och få en tillåten profilering att övergå till att utgöra en otillåten profilering.

Följande är exempel på faktorer som enligt vägledningen kommer att vara avgörande:

  • Upplevelsen av påträngande känsla i profileringsprocessen;
  • Förväntningarna och önskemålen från den berörda individen;
  • Vilket sätt individen exponeras för marknadsföringen; eller
  • Den särskilda sårbarheten och utsattheten av målgruppen.

Upplysande marknadsföring eller påträngande känsla?

Vägledningen innebär därmed att GDPR:s restriktioner kan komma att tillämpas när profilering – utifrån den registrerades perspektiv – övergår från att vara en upplysande marknadsföring till att inge en ”påträngande känsla”.

Det är inte helt uppenbart vad som avses med en ”påträngande känsla”, men det relevanta är att den beteendestyrda marknadsföringen måste anpassas utifrån den specifika målgruppen, om denna kan anses vara särskilt sårbar eller utsatt.

Det kan exempelvis utgöra ett otillåtet automatiskt beslutsfattande att rikta annonser för online-gambling mot individer baserat på en profilering som visar att individen kan anses ha ekonomiska problem.

Håll koll på vad som gäller och agera i tid

Det är hög tid att säkerställa GDPR-efterlevnad i förhållande till all marknadsföring, men för den som tillämpar beteendestyrd marknadsföring är detta särskilt angeläget. Den som ägnar sig åt beteendestyrd marknadsföring bör vara medveten om att profilering och automatiserad behandling är föremål för särskilda krav enligt GDPR.

Dessa kan innefatta krav på uttryckligt samtycke från berörda individer, men också särskild tydlig information om hur behandlingen utförs, vilka personuppgifter eller data som omfattas av denna, samt i vilket syfte den görs. Utöver detta bör de subjektiva faktorerna i den nya regleringen observeras.

Vägledningen är en matnyttig och högst relevant läsning för dig som marknadschef då den förväntas ha stor betydelse för hur tillsynsmyndigheter kommer att bedöma aktuella frågor.

Mer information om vägledningen hittar du här.

En variant av denna artikel har tidigare publicerats på Marknadsbiblioteket.

 

Erik Ullberg

Författare: Erik Ullberg

Erik Ullberg arbetar inom allmän affärsjuridik med primärt fokus på immateriella rättigheter, reklam, marknadsföring, IT och dataskydd samt offentlig upphandling. Han har särskild erfarenhet från sociala medier, IT, teknik samt reklam- och kommunikationsbranschen. Erik är svensk representant inom GALA (Global Advertising Lawyers Alliance), en sammanslutning av advokater verksamma över hela världen med expertis och erfarenhet inom reklam och marknadsföring. Erik är en återkommande föreläsare inom sina specialområden vid bl.a. Chalmers Tekniska Högskola.

Läs mer av Erik Ullberg

Lämna en kommentar





ae17f67aa590bfc290957b264e4472b9///////////////////////////////
Kntnts nyhesbrev

Kntnts nyhesbrev

Gör som 2200+ kollegor.

Fyll i din epostadress och få ett mejl varje fredag med veckans innehåll.

You have Successfully Subscribed!

Missa inte nästa artikel!

Gör som 2200+ kollegor.

Fyll i din epostadress och få ett mejl varje fredag med veckans innehåll.

You have Successfully Subscribed!

Pin It on Pinterest