Google og Facebook. GDPR-«friskmelding» av kundelistematching

I tillegg er det særlig for Google ofte er uklart hvorvidt Google er behandlingsansvarlig (og behandler kundes data for Googles egne formål) eller hvorvidt Google er databehandler. Disse nevnte forhold skal jo markedsføreren etter GDPR har kontroll over og kunnskap om. Vi har sett på to konkrete tjenester som vi mener kan «friskmeldes» og hvor informasjonen som gis er god nok til at vi tør å anbefale norske bedrifter å bruke dem, dog på visse vilkår.

Google Customer Match

I Customer Match tjenesten kan annonsøren laste opp liste over sine kunder til Google. Google matcher listen (matching av epostadresse etter hva vi forstår) med Googles egen listen over Google-brukere. Deretter presenterer Google sluttbrukere for annonsørens budskap i forbindelse med Google-søk, på YouTube eller i Gmail. Google lover i sine vilkår for kjøp av tjenesten at Google ikke vil bruke data til andre formål enn å levere tjenesten, ikke dele med tredjeparter, ikke bruke data til å bygge profil på sluttbruker og lover også å slette kundedata fra annonsøren etter at tjenesten er levert. Dette innebærer at Google reelt sett lover å opptre som databehandler. Det er videre (riktignok vanskelig tilgjengelig) også vist til Googles standard databehandleravtale.  Hva gjelder selve matchingen så er dette en ny behandlingen av personopplysninger etter GDPR. Vår vurdering er at denne matchingshandlingen medfører en lav personvernulempe. Personen har jo allerede et kundeforhold både til annonsøren, og til Google og markedsføring er et legitimt hensyn. På disse vilkår mener vi mener vi matchingen har tilstrekkelig grunnlag i GDPRs bestemmelse om legitime interesser. Annonsøren må etter GDPR informere sluttbrukerne om matchingen. Dette kan eksempelvis gjøres gjennom annonsørens personvernerklæring. Skulle sluttbruker senere protestere mot matchingen (som skjer for markedsføringsformål), må annonsøren etter GDPR respektere dette, og ta denne kunden ut av lister som i fremtiden matches.     

Facebook Custom Audience

Facebooks Custom Audience fungerer på liknende måte som Googles tjeneste. Facebooks vilkår tilkjennegir klart at Facebook opptrer som en databehandler for annonsøren. Dette er betryggende. Facebook lover å slette opplastede data etter at Custom Audience er levert, lover å ikke dele med tredjeparter og lover å ikke bruke disse data til å bygge profil. Facebook har i sine brukervilkår også informert brukerne om at matching vil skje. Vi mener at matchingen mellom annonsørs kundeliste og Facebooks medlemsdatabase kan begrunnes i GDPRs bestemmelse om legitime interesser. Annonsøren må etter GDPR også informere sluttbrukerne om matchingen. Dette kan eksempelvis gjøres gjennom annonsørens personvernerklæring.   Skulle sluttbruker senere protestere mot matchingen (som skjer for markedsføringsformål), må annonsøren etter GDPR respektere dette, og ta denne kunden ut av lister som i fremtiden matches.       

Forutsetning for vurderingene

Teknologi og tolkning av regler endrer seg hyppig på dette området. Vår «friskmelding» måtte derfor baseres på flere forutsetninger. Viktige forutsetninger er hvordan Google og Facebooks tjenester fungerer per i dag og hvilke vilkår disse i dag tilbyr for tjenestene. Dette er forhold som vil endres fra tid til annen. En annen viktig forutsetning er at annonsøren har lovlig adgang til å presentere digital markedsføring til (slutt)kunden sin. Ofte vil dette bety grunnlag i epostregelen i markedsføringsloven § 15 som som hovedregel krever sluttbrukers samtykke. Dette gjelder i hvert fall markedsføring som gjennom Google eller Facebook presenteres i sluttbrukeres innboks (for eksempel Gmail) eller i brukes profil (tidslinje på Facebook). Derimot er de nordiske Forbrukermyndigheters holdning at denne regelen ikke klart nok (etter myndighetenes syn) omfatter markedsføring i sluttbrukers nyhetsstrøm på Facebook. Dette betyr at annonsøren kan bestille sistnevnte markedsføring uten et samtykke.