GDRP är ett samlingsnamn för alla de dataskyddslagar som träder i kraft samtidigt. Det faktum att GDPR är en förordning innebär att det att de nya lagarna omedelbart aktiveras och blir en del av alla EU länders nationella lagar. Det finns givetvis en rad anledningar till varför EU väljer att införa GDPR men tre av de primära anledningarna är:

• Förhindra möjligheten att personuppgifter säljs eller köps av olika företag, främst utanför EU:s gränser.
• Det finns en önskan hos privatpersoner att ha större kontroll över hanteringen av deras personuppgifter.
• EU:s förhoppning är att gemensamma lagar inom EU:s gränser kommer skapa ett säkrare och bättre affärsklimat.

I Sverige finns det drygt 6,2 miljoner svenskar som är aktiva på Facebook vilket gjort plattformen väldigt populär för företag, organisationer och myndigheter som vill kommunicera med olika målgrupper. Det finns många aktörer som idag frågar sig hur deras aktivitet på Facebook kan komma att påverkas av nya datalagar.

Facebook själva förbereder sig genom en rad olika åtagande som: 

Transparens

Vår datapolicy kommer att förbli den enda sammantagna plats som beskriver hur vi behandlar människors personuppgifter, men vi ger även utbildning via medgivandeupplevelser för nya och befintliga användare, i produktaviseringar och i kampanjer för konsumentutbildning.

Kontroll

Vi fortsätter ge människor kontroll över hur deras data används. För att bygga vidare på detta förenklar vi utformningen av våra sekretessinställningar i ett nytt sekretesscenter. Vi tillhandahåller även påminnelser till personerna som använder Facebook – exempelvis påminnelser som visas i nyhetsflödet om hur man dubbelkollar sina inställningar.

Ansvar

Vi ansvarar för våra rutiner och har sekretessprinciper som förklarar hur vi tänker kring sekretess och dataskydd. Vi träffar regelbundet lagstiftare, policyskapare, sekretessexperter och akademiker från hela världen för att hålla dem informerade om våra rutiner, få feedback och anpassa den efter behov.

Ovan kan tolkas som relativt generella åtagande som bolaget genomför för att leva upp till de krav som GDPR ställer. Företag som annonserar på Facebook vill nog veta mer exakt hur deras annonsering samt användning av information från Facebook kan komma att påverkas? Facebooks utgångspunkt är att  företag som annonserar med Facebook-företag kan fortsätta använda Facebooks plattformar och lösningar på samma sätt som de gör idag. Varje företag ansvarar för att säkerställa sin egen efterlevnad med GDPR, på samma sätt som de ansvarar för att följa de lagar som gäller dem idag. Detta förhållningssätt från Facebook grundar sig i de krav som förordningen grundar sig på. 

Viktiga juridiska grunder

Enligt GDPR finns det ett antal skäl som legitimerar behandling av personuppgifter. Nedan beskriver vi de mest relevanta juridiska grunderna enligt GDPR.

Grundläggande krav och produktinnebörder

Nödvändighet för kontrakt

• Data som behandlas måste vara nödvändiga för tjänsten och definieras i kontraktet med individen

Samtycke

• Kräver ett frivilligt, särskilt, informerat och otvetydigt samtycke genom tydlig bekräftande åtgärd
• Människor har rätt att återkalla sitt samtycke, vilket de måste göras uppmärksamma på
• Måste ges av en person som innehar behörig ålder för medlemsstaten och i annat fall ges eller auktoriseras av en förälder/vårdnadshavare
• Explicit samtycks krävs för viss behandling (t.ex. särskilda kategorier av personuppgifter)

Legitima intressen

• Om ett företag eller en tredje part har legitima intressen som inte åsidosätts av individers rättigheter eller intressen.
• Behandlingen måste pausas om en individ inkommer med invändningar

Facebook som dataansvarig kontra databehandlare

Dataansvarig

Du är dataansvarig när du avgör syften och metoder för behandling av personuppgifter.

• På samma sätt som den aktuella dataskyddslagen föreskriver det måste dataansvariga anpassa sin efterlevnad för att täcka hur data samlas in, vad de används för, hur länge de lagras och säkerställa att människor har rätt att få åtkomst till de data som lagras om dem.

Databehandlare

Du är databehandlare när du behandlar personuppgifter åt en dataansvarig. Vissa krav gäller nu direkt för databehandlare och ansvariga måste binda dem enligt specifika avtalsvillkor för att säkerställa att data behandlas på ett säkert och legalt sätt.

Facebook driver huvuddelen av sina tjänster som dataansvarig, men det finns några instanser där vi är verksamma som databehandlare vid samarbete med företag och andra externa parter. När Facebook behandlar data i egenskap av databehandlare åt dig måste ditt företag ha sin egen juridiska grund för att behandla och dela data med oss. Exempel på sådana är:

• Anpassade målgrupper

När vi matchar dina CRM-data med vår användardatabas och skapar en anpassad målgrupp för dina annonskampanjer är vi databehandlaren.

• Mätning och statistik

Vi behandlar data åt dig för att kunna mäta resultatet och räckvidden för dina annonskampanjer samt tillhandahålla statistik om de personer som använder dina tjänster och återrapportera till dig.

Privacy Shield

Facebook Inc. är ett amerikansk bolag men är certifierade enligt Privacy Shield-ramverket där företaget tar emot och behandlar personuppgifter från annonsörer inom EU i samband med vissa produkter, inklusive datafiler för anpassade målgrupper, attributionskontroll och vissa undersökningar av Offline Conversion Lift samt enligt vidare beskrivning i bolagets Privacy Shield-certifiering.

Mer information om specifika Facebook-annonsprodukter finns i  på företagets hemsida där vanliga frågor besvaras.