_________
Digital Single Market är EU:s stora projekt för att skapa en gemensam digital marknad. Projektet innehåller flera olika delar som har särskild betydelse för bl.a. dataskyddsregleringen, AI-förordningen, marknadsföringslagen, upphovsrätten och konsumentskyddet. Detta får givetvis stora konsekvenser på den digitala kommunikationen och marknadsföringen som bolag och organisationer vidtar. Under lång tid har många aktörer samlat på sig stora mängder data bland annat genom olika cookies vilken kompletterats med kunddata, inköpt data, delad data m.m. genom vilka man kunnat bygga upp profiler för mer skräddarsydd marknadsföring. Sådan profilering kräver inte sällan ett föregående samtycke, särskilt när observerad data behandlas eller sådana data som individerna inte rimligen kan förutse att den behandlas.
Till bilden ska även läggas användningen av olika AI-verktyg som ger stora möjligheter att skapa innehåll samtidigt processas stora mängder data som innebär att regleringarna kring AI, IT-säkerhet och dataskydd blir tillämpliga. Här ser lagstiftaren förhållandevis strängt på sådan användning/behandling vilket kommer till uttryck genom kraftiga sanktioner i några av de mest centrala regelverken. Dessutom regleras profilbaserad marknadsföring genom flera parallellt tillämpliga regelverk vilket gör att man behöver se över marknadsföringsåtgärderna från flera perspektiv. De mest centrala regelverken är marknadsföringslagen, dataskyddsförordningen och lagen om elektronisk kommunikation.
Kort om den relevanta lagstiftningen
Marknadsföringslagen (2008:486)(MFL)
MFL utgör den generellt tillämpliga lagstiftning som styr hur kommersiella marknadsföringsbudskap och åtgärder får utformas. Den innehåller även specifika regler om att det krävs s.k. opt-in (samtycke) för att rikta sig mot potentiella kunder och opt-out för att rikta sig mot befintliga kunder, jmf 19-21 §§ MFL. Dessa regler gäller dock endast när man riktar sig mot fysiska personer och inte mot andra bolag.
Lag (2022:482) om elektronisk kommunikation (LEK)
Övergripande syftar LEK dels till att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer, dels till största möjliga utbyte för alla av elektroniska kommunikationstjänster sett till urvalet samt till deras pris, kvalitet och kapacitet. Den innehåller också en särskild bestämmelse om cookies som anger att uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Trots att samtycke inte har lämnats är sådan lagring eller åtkomst tillåten som 1. behövs för överföring av ett elektroniskt meddelande via ett elektroniskt kommunikationsnät, eller 2. är nödvändig för tillhandahållande av en tjänst på uttrycklig begäran av användaren eller abonnenten.
Allmänna dataskyddsförordningen (GDPR)
GDPR anger att all behandling behöver ha en rättslig grund som anges i artikel 6. Av artikeln följer att behandling av personuppgifter endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
6.1a: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
6.1f: Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Vidare följer även av GDPR att all behandling ska följa de rättsliga principer som följer av artikel 5 i GDPR, bland annat uppgiftsminimering, lagringsminimering m.m.
AI-förordningen
AI-förordningen definierar ett AI-system brett: ”ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.”
AI-system ska delas in i fyra olika riskgrupper (oacceptabel, hög, begränsad och minimal). Enligt artikel 6 följer att AI som kategoriseras som ”hög risk” indelas i två grupper:
i. AI-system som används i produkter som faller under EU:s produktsäkerhetslagstiftning
ii. AI-system som faller inom vissa specifika områden och som kommer att behöva registreras i en EU-databas
Av artikel 6.3d följer vidare att ett AI-system ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer. Med profilering avses definitionen i artikel 4.4 GDPR: ”…varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.
Vägledande dokument
Den Europeiska dataskyddsstyrelsen (EDPB) har tagit fram ett flertal relevanta riktlinjer om användning av olika marknadsföringsåtgärder. För denna analys är särskilt EDPB:s riktlinjer om riktad annonsering i sociala medier av intresse. I riktlinjerna delas personuppgifter in i kategorierna uppgifter som den registrerade aktivt och medvetet tillhandahållit den personuppgiftsansvarige, observerade uppgifter som den registrerade tillhandahållit genom användning av tjänsten eller enheten och avledda och härledda uppgifter som skapats på grundval av de uppgifter som den registrerade tillhandahållit.
Enligt EDPB är det två rättsliga grunder som kan komma ifråga för att behandla sådana uppgifter som den registrerade aktivt och medvetet tillhandahållit, nämligen samtycke enligt 6.1 a och berättigat intresse enligt 6.1 f i dataskyddsförordningen. När det gäller uppgifter som samlats in genom observerade uppgifter som den registrerade tillhandahållit genom användning av en tjänst eller enhet, inklusive sådan som samlats in genom kakor, uttalar EDPB att artikel 6.1 f inte kan utgöra en rättslig grund för sådan riktad annonsering där enskilda personer spåras på flera olika webbplatser och platser. Vidare uttalar EDPB att för sådan behandling är samtycke troligen den lämpligaste rättsliga grunden i artikel 6 i dataskyddsförordningen. I bedömningen ska man vidare ta hänsyn till att behandlingen inkluderar aktiviteter som lagstiftaren i EU har velat ge ytterligare skydd.[1]
Svenska tillsynsmyndighetens tillsyn
IMY har i några nyligen fattade tillsynsbeslut (IMY-2023-16448, IMY-2023-16453, IMY-2023-15452) konstaterat att berättigat intresse ofta inte är en rimlig rättslig grund för den inte sällan omfattande personuppgiftbehandling som vissa cookies möjliggör. Då är snarare samtycke korrekt rättslig grund. Samtycke från den registrerade är ju enligt GDPR definierat som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, jmf artikel 4.11 GDPR.
Denna omfattande definition innebär att man behöver lämna tydlig information om den personuppgiftsbehandling som sker, även genom cookies. Detta samtycke ska inte förväxlas med ”cookiesamtycke” enligt LEK vilket tar sikte på själva kakorna och tekniken som sådan och inte personuppgiftshanteringen. Det är klart enklare att hantera från ett legalt perspektiv. Därutöver har vi ju även samtycke enligt MFL. Dock är det mest utmanande samtycket det som gäller enligt GDPR. Att verkligen förstå hur omfattande personuppgiftsbehandling som sker med olika kakor är en utmaning i sig, särskilt som det inte är ovanligt att kakor delar uppgifter med andra kakor. När den analysen väl är gjord behöver man bedöma om det är rimligt att hantera alla dessa personuppgifter som inte heller sällan träffas av definitionen av profilering[2] enligt GDPR. Man behöver även se till att följa principerna i artikel 5 GDPR. Dessa överväganden kan behöva dokumenteras genom en konsekvensbedömning om man kommer fram till att personuppgiftsbehandlingen innebär hög risk för de registrerade. I vissa fall kan man behöva begränsa sin användning av cookies eller till och med inte påbörja den/avsluta den.
Att IMY i de ovan refererade tillsynsärenden stannade vid att granska möjligheten att samtycke och återkalla samtycke är visserligen intressant men ger inte närmare vägledning om hur man bör hantera den efterföljande personuppgiftsbehandling som många kakor ger upphov till. Med tanke på att det är enkelt för en tredje part inklusive tillsynsmyndigheten att identifiera om en viss aktör använder kakor innebär det även en perdurerande legal risk att använda cookies utan en föregående analys av tekniken och den personuppgiftshantering som respektive kaka ger upphov till. Man kan möjligen se en ökad tillsyn på detta område då tillsynsmyndigheterna identifierat denna typ av personuppgiftshantering på senare tid. Den legala risken och arbetet med att analysera den egna användningen av cookies och profilbaserade marknadsföringsåtgärder bör hanteras för att undvika legala sanktioner.
____________
[1] Se EDPB:s riktlinjer 8/2020 om riktad annonsering I sociala medier Version 2.0, antagna 13 April 2021, punkt 40
[2] Artikel 4.4 GDPR: profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Vi på Marknadsföreningen får allt fler frågor om vi kan tipsa kring byråer och hur man kan tänka för att få till ett riktigt fint och värdeskapande samarbete. Det är en ständig vågskål, med snabb utveckling på marknaden och många olika sätt att organisera sitt interna arbete i kombination med externa byråer och rådgivare utifrån behov. Hur man kan jobba smartare tillsammans och skapa ett vinnande samarbete har varit och är ett återkommande tema på seminarier och diskussioner på MiS. 
Jonna Ekman, Marketing Director, Storykit
Laura Macchi, Client Director, Kantar Media
Alice Hedin, PR- och kriskonsult, Wings PR och Årets Framtidslöfte 2025
Sara Öhman, konsult inom digital marknadsföring
Jan Berkö, Head of Business Development, Delorean
