Abonnere på vårt nyhetsbrev

Facebook Custom Audiences vs. personvern

 

Facebook er en fin kommunikasjonskanal, men det er viktig for enhver organisasjon som ønsker å bruke Facebook til markedsføring å forstå når organisasjonen er Behandlingsansvarlig og når man innehar rollen som Databehandler.

 

I et markedsføringsløp som involverer Facebook må man ha kontroll på i hvilke deler av løpet organisasjonen selv har rollen som behandlingsansvarlig og når organisasjonen «bare» er databehandler. Dette er viktig fordi det i utgangspunktet er behandlingsansvarlig som plikter å ha gyldige samtykker til behandling av persondata.

«Facebook Custom Audiences» er en funksjon som kan brukes til å annonsere i utvalgte personers Facebook «feed». Det finns flere måter å bruke Facebook custom audiences på. En av de mest interessante, og mest omstridte med tanke på personvern, er å opprette et slikt publikum basert på en liste med medlemmer eller givere hentet ut av medlemssystemet.

«Data file Custom Audience» innebærer å laste opp en liste med kontaktinformasjon (typisk mobilnummer eller e-post) til Facebook, og Facebook vil så matche kontaktinformasjonen i listen med eksisterende Facebook-kontoer og vise det ønskede budskapet i «feeden» til disse personer.

Fra et personvernsperspektiv er det viktig å tenke på at kontaktinformasjonen som legges inn i Facebook, dvs. listen som lastes opp, tilhører organisasjonen og det gjør organisasjonen til behandlingsansvarlig for dataen. Facebook er i dette fall «bare» databehandler. Her er det altså organisasjonen som plikter å ha samtykke til å bruke «custom audiences» fra de personer som eier kontaktdataene som lastes opp til Facebook. Her bør det også være et «informert» samtykke, dvs. at man har oppgitt at kontaktdata kan bli brukt til å skape «custom audiences» i Facebook og konsekvensene av det.

“If you’re using Facebook’s data file Custom Audience product to reach your customers or using Facebook’s measurement and analytics services and providing EU users’ personal information to us, Facebook is acting as a data processor, so you must ensure compliance for our processing of the personal data to provide services for you.”

[Facebook]

 

At forstå når organisasjonen er behandlingsansvarlig og Facebook databehandler, eller omvendt, er helt nødvendig skal man klare å vurdere lovligheten også for andre mulige måter som Facebook kan brukes på for å kommunisere med organisasjonens medlemmer og/eller givere.

 

Les mer om hvordan Facebook håndterer personvern: https://www.Facebook.com/business/gdpr

 

Facebook GDPR Custom Audience Personvern