Det kan være svært at holde tunge lige i munden, når det kommer til GDPR og jura på sociale medier. For hvad må man? Og hvad må man ikke, hvis man vil undgå at få bøder? Den 29. august holdt jeg et morgenmøde med advokat Heidi Højmark Helveg , hvor hun gav svar på, hvad der er op og ned med GDPR, skjult reklame mm. I dette indlæg har jeg samlet en række af de deltagernes spørgsmål og Heidis svar. Vi lægger ud med GDPR.
GDPR
Hvad er det nye med GDPR ift. sociale medier?
GDPR er en EU-lov, der skal være med til at styrke persondatasikkerheden. Loven giver privatpersoner ret til bl.a. 1) at vide, hvad deres privatoplysninger blive brugt til, 2) at få udleveret en virksomheds informationer om dem – uden omkostninger, 3) at sige nej til reklamer og 4) at få ændret ens oplysninger, hvis de skulle være fejlagtige.
Oplysningspligt betyder, at man som virksomhed eller organisation har pligt til at oplyse brugerne om, hvad de gør med brugernes data.
Hvilke oplysninger er personlige?
GDPR regulerer identificerbare oplysninger samt mere personfølsomme af slagsen. Det drejer sig f.eks. om:
- Navn, alder og køn
- CPR-nummer
- IP-adresse
- Lokation
- Fingeraftryk
- Helbred
- Økonomi
- Religiøs eller seksuel overbevisning
Så er det der med Facebook og delt dataansvar – hvad stiller vi op med det?
Delt dataansvar opstår, når to eller flere dataansvarlige har ansvaret for, hvordan behandling af data fungerer. Det sker f.eks., når en virksomhed bruger Facebooks data til at målrette en kampagne mod en bestemt gruppe af mennesker.
For nylig kom der en dom om, at når man har en Facebook-side, har man delt dataansvar med Facebook, og det kræver, at man indgår en aftale med Facebook om en række forhold. I praksis kan man som virksomhed ikke leve op til reglerne i dag, da Facebook ikke stiller en sådan aftale til rådighed. Vi afventer i øjeblikket svar fra Facebook om, hvordan vi skal gribe det an.
Hvad stiller man så op som virksomhed? (Om privatlivspolitik)
Ligesom alle andre må man dels afvente Facebook, og dels kan man gå i gang med at efterleve de øvrige kriterier, fx en privatlivspolitik. Det er nemlig vigtigt, at man som organisation/virksomhed på sociale medier sørger for at tydeliggøre, om man f.eks. indsamler data, og hvordan man gør det. Det kan man gøre ved at have en privatlivspolitik, hvor man går helt i detaljen med, hvordan man arbejder på sociale medier, hvilke data man indsamler, og hvad man bruger det indsamlede data til. Det er desuden et krav at have en privatlivspolitik, men det er desværre ikke nok. Privatlivspolitikken skal være nem at finde. Det er derfor efter min vurdering ikke tilstrækkeligt at indsætte den under fanen ’Om’ på f.eks. Facebook. I stedet foreslår jeg, at man opretter en ny fane, der hedder ’Privatlivspolitik’, så brugeren nemt kan finde den.
Skal så vi helt lade være med at bruge sociale medier til markedsføring?
Nej, det synes jeg ikke. Men I skal gøre en indsats for at leve op til reglerne, og få jer en gennemsigtig privatlivspolitik, der er let tilgængelig. Rådfør jer eventuelt med en advokat, hvis I er i tvivl.
Hvad må vi gøre med de data, vi indsamler?
Umiddelbart må du bruge dataen til det, du skriver i din privatlivspolitik. Det kunne f.eks. være til targeting. Her er det vigtigt at påpege, at man naturligvis heller ikke bare kan skrive, hvad man vil i sin privatlivspolitik – for privatlivspolitikken skal selvfølgelig følge loven. Man må derfor f.eks. ikke indsamle personfølsomme data og gøre brug af profilering med disse data. Det er en hårfin grænse, men så længe I ikke dykker for langt ned i detaljerne om privatpersoner i jeres indsamling af data på sociale medier, burde I være på rette spor.
Må man videregive data til tredjepart til analyse? (Databehandleraftale)
Hvis man har en databehandleraftale med tredjepart, må de gerne få indblik i jeres data, hvis det er noget I hyrer dem til, og de gør det i jeres interesse. Der er en række betingelser, der skal opfyldes. Det er vigtigt, at I er opmærksomme på, at jeres databehandlere har en tilstrækkelig sikkerhed, når de behandler jeres data.
Hvad er profilering, og hvornår krydser man grænsen fra segmentering til profilering?
Profilering kan defineres som aktiviteter, der gør det muligt at kortlægge, analysere og forudsige aspekter af en persons personlighed eller adfærd, interesser og vaner. Der kan anvendes en række forskellige informationer til brug for profilering, både almindelige, men også de mere følsomme oplysninger, f.eks. information om seksuel orientering, økonomisk situation, interesser, fremtidig adfærd eller pålidelighed. Segmentering handler om at finde frem til den samlede gruppe, der har mest glæde af det, man gerne vil kommunikere. Grænsen fra segmentering til profilering sker derfor, når man går fra et kigge på en gruppe – det kan f.eks. være kvinder i alderen 18-20, der går ind for økologi, til at gå mere ned på individniveau.
Har brugerne selv et ansvar for det, de selv deler på sociale medier?
Ja og nej. Man kan sige, at brugerne har et ansvar, når det kommer til, hvad de vælger at dele i deres kommunikation med dig og din arbejdsplads. Men i det øjeblik, hvor I begynder at behandle data, kan I komme i problemer. Flere virksomheder på sociale medier er derfor begyndt at skrive i deres chatfunktion på sociale medier, at de frabeder folk at indsende spørgsmål/information, der vedrører personlige informationer. Og offentlige institutioner anbefales ofte at undlade at have en beskedfunktioner (fx Messenger) på sociale medier. Kun på den måde kan de helt undgå at komme i besiddelse af personfølsomme oplysninger – eller at andre får fat i oplysningerne gennem dem.
Hvorfor er der forskel på, hvad brugerne skriver på Facebook-siden, fx i en kommentar, og så en besked i Messenger?
Det er der heller ikke som sådan, men folk er nok mere tilbøjelige til at skrive følsomme oplysninger i Messenger, fordi de tror, at det er sikkert.
Er man altid forpligtet til at slette følsomme persondata?
Som udgangspunkt er I ikke, hvis personen selv har delt dataen. Men som nævnt i spørgsmålet herover er det god stil at bede folk om at undlade at sende personfølsom information. Er man en offentlig myndighed, er reglerne strengere.
Vær opmærksom på, at der er strengere krav til jeres sikkerhed, hvis I behandler følsomme oplysninger.
Facebook: Hvordan er annoncer og fansider forskellige?
Reklamer og fansider er forskellige fra hinanden, fordi brugeren som udgangspunkt selv har valgt at ’like’ eller ’følge’ fansiden. Derfor har de f.eks. også haft mulighed for at tjekke fansidens privatlivspolitik ud. Det samme gør sig ikke gældende i en annonce. Her kan en bruger, der ikke følger Facebook-siden, modtage reklamer i sit Newsfeed, og personen har dermed ikke haft mulighed for at gøre sig bekendt med privatlivspolitikken. Vil man være på den sikre side, skal man tage et link med til sin privatlivspolitik i annoncen.
Men det er der jo ingen der gør i dag. Vil det blive en ny praksis, tror du?
Ja, det tror jeg.
Hvordan får man samtykke til profilering på Facebook? Hvornår skal man bruge det?
Som udgangspunkt rådgiver jeg til, at man skal stoppe der, hvor samtykkekravet starter. Kan man alligevel ikke helt dy sig, så skal man bede om samtykke, hvis man gerne vil give sig i kast med en profilering, der går tæt på de enkelte brugere i forhold til deres adfærd, præferencer m.v. Jo mere man ved om dem, jo mere sandsynligt er det, at det kræver et samtykke.
Hvad må man gøre med de informationer som Facebook-pixlen indsamler?
Man må lave en profilering, der ikke går særligt tæt på brugerne. Det kræver dog, at man har et samtykke efter cookie-reglerne.
Skjult reklame
Hvornår må man vise produkter frem, som man har modtaget fra en virksomhed, uden at skrive ’reklame’?
Det er i udgangspunktet et no-go. Det skal altid være tydeligt for modtageren, at der er tale om en reklame. Og det er uanset, om der er tale om et influencer-samarbejde, en sponsoreret artikel eller noget helt tredje.
Hvornår skal indhold markeres som reklame?
Indhold skal markeres med reklame, så snart der er en kommerciel hensigt fra virksomhedens side. Så er det lige meget, om I forsøger at sælge sko, ost eller rejser til Ribe. Laver dig og din virksomhed en oplysningskampagne om unge og rygning, som ikke har et kommercielt formål, er det ikke et lovkrav at markere det som reklame. Men det kan være god stil, så modtageren ved, hvem den egentlige afsender bag budskabet er. Så her kan man tale om lovmæssigforpligtelse kontra god stil.
Hvornår er noget en kommerciel hensigt?
Det er det, når hensigten har til formål at sælge noget, brande sig selv, markedsføre sig selv el. lign. Det har i udgangspunktet ikke noget at gøre med, hvem afsenderen er.
Hvem har ansvaret for, at indhold bliver markeret som reklame?
Det har du som virksomhed. Arbejder du med influencers, medarbejdere eller andre aktører, der skal bære dine budskaber, er det derfor dit ansvar at tydeliggøre, hvad reglerne er.
Må ens medarbejdere reklamere for virksomheden?
Ja og nej. En medarbejder må gerne promovere sin arbejdsplads på frivillig basis – og uden betaling – hvis det er tydeligt, at medarbejderen selv arbejder der. Der må ikke indgå skjult reklame i promoveringen. For et par år siden kom genbrugsappen Tradono ud i noget af et stormvejr. Flere af deres ansatte blev nemlig opfordret til at markedsføre appen ved at dele opslag på sociale medier, men i deres deling på sociale medier fremgik det ikke, at de arbejdede der. Det fik de en indskærpelse af Forbrugerombudsmanden for. Vil I gerne være med til at dele jeres arbejdsplads budskaber, så sørg for, at I i teksten markerer, at I arbejder der. Det kan man gøre gennem små ord som ’Vi’, ’vores’, ’min chef’ eller noget i den dur.
4 hurtige om jura på sociale medier
- Prioritér jeres privatlivspolitik, og sørg for at holde den opdateret. Vis den frem alle de steder, hvor I møder brugerne online.
- Vær forsigtig med profilering – vælger I at annoncere, så sørg for at holde jer til en segmentering, der ikke er for specifik.
- Skjult reklame er et no-go. Uanset om I bruger influencere, medarbejdere eller nogle helt tredje til at få jeres budskaber udover rampen, så skal det altid markeres som reklame, hvis det ikke fremgår af sammenhængen.
- Har I en databehandleraftale, må I gerne overføre data til tredjepart i henhold til aftalen.
Tips til privatlivspolitikken på sociale medier
Facebook:
- Lav en fane på jeres Facebook-side, der hedder ’Privatlivspolitik’
- Hvis I opdaterer jeres privatlivspolitik, så gør opmærksom på det i et opslag
Instagram:
- Sæt et link med jeres privatlivspolitik ind i bio
- Eller gør brug af muligheden for at gemme Stories på profilen. Gem en story under navnet ’Privatlivspolitik’, og skriv herefter din privatlivspolitik ind i de enkelte stories, som du herefter gemmer ned. Her kan du også sætte et link ind til en lidt længere privatlivspoliitk.
LinkedIn:
- Læg jeres privatlivspolitik ind i ’Om os’. Har I ikke plads til at skrive den ind, kan I linke til den.
- Som på Facebook – lav et opslag, hvis I ændrer i den.
Super værdifuldt indlæg. Har fluks delt det i min afdeling. Tak for det