Beteendestyrd marknadsföring i ljuset av nya dataskyddsregler

De flesta har vid det här laget säkerligen nåtts av det omfattande informationsflöde som florerar kring EU:s nya Dataskyddsförordning, GDPR, vilken börjar gälla den 25 maj 2018. Förordningen befäster EU:s fokus på integritetsfrågor och innebär kraftigt ökade sanktioner för företag som inte tar reglerna på allvar. GDPR kommer att ha stor betydelse för alla former av marknadsföring som innefattar behandling av uppgifter om identifierbara fysiska personer, dvs personuppgifter. Utöver uppgifter som namn, adress, personnummer, telefonnummer och e-postadress behandlas ofta även uppgifter om ålder, intressen och preferenser.

[>> Artikel från Wistrand Advokatbyrå]

Beteendestyrd marknadsföring som baseras på profilering och automatiserat beslutsfattande är en starkt växande trend för att individanpassa marknadsföring, men har blivit ifrågasatt på grund av dess integritetskänsliga karaktär. Den kommersiella potentialen i att utforma marknadsföring på individnivå leder också till att de enskildas rättigheter och friheter påverkas i betydande grad, vilket man försöker hantera i GDPR. Bestämmelserna i GDPR kommer därför särskilt att påverka beteendestyrd marknadsföring eftersom denna i regel förutsätter hantering av personuppgifter.

GDPR UTGÅR FRÅN ett antal principer som sedan utkristalliserar sig i mer specifika bestämmelser samt rättigheter för registrerade personer. Centrala delar är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Detta innefattar bland annat krav på att behandling av personuppgifter ska baseras på en rättslig grund, vilket ofta utgörs av samtycke men kan också vara någon annan i GDPR angiven grund. Dessutom har registrerade personer en i förhållande till PUL utökad rätt att få klar och tydlig information om behandlingen. Den ansvarige för personuppgiftsbehandlingen ska inte bara hantera personuppgifter i enlighet med GDPR:s krav och principer utan ska även kunna visa att man efterlever GDPR.

MARKNADSFÖRING SOM RIKTAS direkt till individer behöver inte alltid baseras på samtycke. Under förutsättning att GDPR:s övriga principer och bestämmelser iakttas kan direktmarknadsföring vara tillåten som ett s.k. berättigat intresse. Här ska tilläggas att det ändå kan komma att krävas samtycke från mottagaren av e-post, mobil och sociala medier) utifrån marknadsföringslagen; i de fallen kan man undvika kravet på samtycke om det redan finns ett etablerat kundförhållande mellan parterna och den aktuella marknadsföringen rör liknande varor eller tjänster. Uttryckligt samtycke kommer däremot normalt sett krävas för beteendestyrd marknadsföring som innebär profilering och automatiserat beslutsfattande om detta får rättsliga följder eller på liknande sätt i betydande grad påverkar individen. För sådan personuppgiftbehandling gäller utöver GDPR:s grundläggande principer och bestämmelser särskilda krav.

SUBJEKTIVA FAKTORER KAN BLI AVGÖRANDE VID BETEENDESTYRD MARKNADSFÖRING
Automatiserat beslutsfattande är inte uttryckligen definierat i GDPR men har av den s.k. Artikel 29-gruppen (en rådgivande grupp som tar fram vägledande dokument gällande GDPR) ansetts omfatta ett beslutsfattande om en individ genom användande av tekniska medel utan mänsklig inblandning. Ett automatiserat beslutsfattande kan exempelvis ske vid ett automatiserat avslag på en kreditansökan över internet eller vid nekad ansökan om tjänst via internet, förutsatt att beslutet tas utan manuell inblandning. Med profilering i GDPR:s mening avses en automatiserad behandling av personuppgifter som utvärderar personliga aspekter kring en fysisk person. Detta kan till exempel avse ekonomisk situation, personliga preferenser, intressen, beteende osv. Profilering associeras ofta med beteendestyrd reklam, vilket förekommer när marknadsföring sker utifrån digitala spår. Säg att du exempelvis sökt p. ordet ”trötthet” och därefter blir exponerad för marknadsföring om energidrycker med hög koffeinhalt.

ENLIGT GDPR HAR individen som utgångspunkt rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar individen. Vidare har enskilda personer rätt att när som helst motsätta sig behandling av personuppgifter för direktmarknadsföringsändamål, eller profilering som sker för ett sådant ändamål. Artikel 29-gruppen publicerade nyligen en vägledning som förtydligar hur förordningens reglering om automatiserat beslutfattande och profilering ska tolkas, vilken för närvarandeä.r öppen för kommentarer från den berörda branschen. Vad som avses med liknande sätt som i betydande grad påverkar individen är inte helt klart men har i någon mån förtydligats i vägledningen. Det anges däri att subjektiva faktorer kan påverka bedömningen och få en tillåten profilering att övergå till att utgöra en otillåten profilering.

Följande är exempel på faktorer som enligt vägledningen kommer att vara avgörande:

>> Upplevelsen av påträngande känsla i profileringsprocessen;
>> Förväntningarna och önskemålen från den berörda individen;
>> Vilket sätt individen exponeras för marknadsföringen; eller
>> Den särskilda sårbarheten och utsattheten av målgruppen.

VÄGLEDNINGEN INNEBÄR DÄRMED att GDPR:s restriktioner kan komma att tillämpas när profilering – utifrån den registrerades perspektiv – övergår från att vara en upplysande marknadsföring till att inge en ”påträngande känsla”. Det är inte helt uppenbart vad som avses med en ”påträngande känsla”, men det relevanta är att den beteendestyrda marknadsföringen måste anpassas utifrån den specifika målgruppen, om denna kan anses vara särskilt sårbar eller utsatt. Det kan exempelvis utgöra ett otillåtet automatiskt beslutsfattande att rikta annonser för online-gambling mot individer baserat på en profilering som visar att individen kan anses ha ekonomiska problem.

TYDLIGARE SAMTYCKE, BEVAKA KOMMANDE REGLERING OCH AGERA I TID
Det är hög tid att ta ett första steg mot GDPR-efterlevnad i förhållande till all marknadsföring, men för den som tillämpar beteendestyrd marknadsföring är detta särskilt angeläget. Den som ägnar sig åt beteendestyrd marknadsföring bör vara medveten om att profilering och automatiserad behandling är föremål för särskilda krav enligt GDPR. Dessa kan innefatta krav på uttryckligt samtycke från berörda individer, men också särskild tydlig information om hur behandlingen utförs, vilka personuppgifter eller data som omfattas av denna, samt i vilket syfte den görs. Utöver detta bör de subjektiva faktorerna i den nya regleringen observeras. Vägledningen från Artikel 29-gruppen ligger öppen för kommentarer och förväntas i vissa delar möta kritik från marknadsföringsbranschen, vilket kan medföra vissa förändringar i vägledningens slutliga innehåll. Under tiden vi avvaktar branschens reaktioner och Artikel 29-gruppens bemötande kommer vägledningen ändå att vara en matnyttig och högst relevant läsning för samtliga marknadschefer. Den slutliga vägledningen kan i sin tur förväntas ha stor betydelse för hur tillsynsmyndigheter kommer att bedöma aktuella frågor.

Vill du veta mer, kontakta: 
Erik Ullberg
erik.ullberg@wistrand.se 
+46 31-771 21 76 

Christel Rockström
christel.rockstrom@wistrand.se
+46 08-50 72 00 45

Wistrand är en av Sveriges största advokatbyråer med närmare 200 medarbetare på kontoren i Stockholm och Göteborg. Sedan 1915 har vi levererat affärsjuridisk rådgivning av högsta kvalitet till privata och offentliga aktörer i svenskt och internationellt näringsliv.