Annonsørenes ansvar for målrettet digital reklame. Hva skal man velge?

Kan dette lede til at det igjen blir mer fokus på de generelle regler og plikter etter GDPR for bruk av digitale markedsføringstjenester?

Annonsører og byråer ønsker at betalt plassering skal treffe best mulig. En av flere teknologier for å oppnå dette er personaliserte annonser. Annonsene er basert på adferdsdata om et individ eller en gruppe individer, herunder også basert på statistiske prediksjoner gitt de datapunktene noen har samlet inn om individet.

Løsningen av Schrems II, betyr ikke fritt frem

De mest kjøpte tjenestene for personalisert markedsføring er amerikanske, eller det er tjenester som tilgjengeliggjør persondata i USA. Dette har i seg selv har vært juridisk problematisk etter Schrems II dommen. Skulle «Schrems II»-problemet bli løst, slik vi har god grunn til å forvente, vil det likevel ikke være slik at det etter GDPR er fritt frem for bruk av teknologier som pixel, tredjepartscookies, eller annonse i epostinboksen din som ser ut som en epost, uten å være det.

Dette har da heller aldri vært fritt frem.

Annonsøren har det fulle ansvaret

Annonsøren er ansvarlig for datainnsamling, bruk og deling som såkalt behandlingsansvarlig etter GDPR. Dette vil også ofte gjelde for publisisten.
Annonsøren vil ofte ha et felles behandlingsansvar med tilbydere av mye brukte tjenester som Facebook, Google og etter hva vi forstår Microsoft, for en del av databruken disse aktørene gjør.

Det grunnleggende kravet til en behandlingsansvarlig er å vite hvilke data som samles inn fra hvor, hvordan data brukes og hvem den deles med. Deretter må den behandlingsansvarlige informere personene dette gjelder. Dette kan for eksempel gjøres i en personvernerklæring. I tillegg skal den behandlingsansvarlige (annonsøren og kanskje publisisten) sikre at de har et lovlig rettslig grunnlag for innsamlingen og bruken av persondata.

Det viktig samtykke

For persondata brukt til markedsføring betyr dette i praksis ofte et samtykke. For at samtykke skal være gyldig, må personen som samtykker, har fått god nok informasjon til å forstå hvilken persondatabehandling samtykket vil lede til.

Det er her bruk av tjenester for persondatadrevet markedsføring pleier å bli vanskelig. De store tilbydernes informasjon er generelt vanskelig å forstå og krever krysslesing av en rekke kilder. I tillegg er det rettslig sett krevende å fastslå hvor langt ditt ansvar som deres kunde strekker seg.

Sliter du med å forstå dette, da er du i tilfellet i godt selskap, mange opplever at det er vanskelig å forstå fullt ut hva det er de faktisk samtykker til. I det hele foreligger det juridisk risiko ved bruke disse tjenestene fordi det er vanskelig å forstå hva som faktisk skjer med data, og hvor langt ditt ansvar som annonsør strekker seg.

Ulikt risikonivå

For noen er det kanskje riktig å ta høy risiko, for andre er det kanskje bedre å la være å bruke de mest aggressive tjenestene eller de tjenester som er vanskeligst å forstå. For noen vil det kanskje være riktig å bruke førstepartsdata, men unngå tredjepartsdata. Eller basere seg på kontekstuelle annonser, kanskje kombinert med god gammeldags epostmarkedsføring der du har full kontroll på dataflyt og samtykker.

En annen måte å se vurderingen på, er å oppnå god effekt med et for deg riktig risikonivå og der du har kontroll på hvilken risiko du velger å ta.

Det forenkler heller ikke situasjonen at Norge noe overraskende, har foreslått å videreføre en særnorsk «slapp» bestemmelse om cookies og som tillater å sette cookies, herunder tredjeparts markedsføringscookies, med mindre sluttbruker «opter ut» gjennom nettleserinnstillingen.

Denne norske regelen er ikke i tråd med EUs forståelse av samtykkekravene til cookies. Den dekker heller ikke samtykkebasert viderebehandling av personopplysninger samlet inn gjennom cookies. Dette fordi GDPR krever et aktivt opt-in samtykke.

Et forbud mot personalisert markedsføring?

Overvåkningsbasert markedsføring er omdiskutert blant publikum, interesseorganisasjoner og politikere. Til sammenligning behandler EU for tiden et forslag om et forbud mot personalisert markedsføring, basert på de mest sensitive type personopplysninger som religion, seksuell orientering og helse.

Ønsker du å vite eller diskutere mer om lovverket?
Da kan du ta kontakt med Vebjørn på vso@raeder.no