Datatilsynet har i en ny afgørelse kastet lys over behandling af personoplysninger i forbindelse med markedsføring og internetkonkurrencer. I afgørelsen forholder Datatilsynet sig blandt andet til kravene for indhentelse af et samtykke med henblik på markedsføring, videregivelse af personoplysninger uden et samtykke til brug for markedsføring, og muligheden for at opbevare en ”nej-tak” liste.

Afgørelsen vedrører en virksomhed, som Datatilsynet indledte en sag mod på baggrund af en henvendelse fra Forbrugerombudsmanden. Det skyldes, at sagen primært vedrørte behandlingen af personoplysninger med henblik på markedsføring, og ikke selve udsendelsen af markedsføringen.

Virksomheden indhentede samtykker fra konkurrencedeltagerne, med henblik på behandling af personoplysninger til brug for markedsføring, fra både virksomheden selv og en lang række samarbejdspartnere.

Særligt tre forhold i afgørelsen er interessante at se nærmere på.

Var samtykket lovligt indhentet?

Virksomheden indsamlede konkurrencedeltagernes samtykke til både egen behandling af oplysninger og videregivelse af personoplysninger til samarbejdspartneren med henblik på direkte markedsføring.

Datatilsynet vurderede, at samtykket var gyldigt indhentet. Særligt tre af Datatilsynets vurderinger er interessante at se nærmere på.

For det første var samtykket tilstrækkeligt ”informeret”, selvom samtykkemodtagernes (samarbejdspartnernes) juridiske navne alene fremgik via et link. Dette står i modsætning til Forbrugerombudsmandens SPAM-vejledning, hvorefter samarbejdspartnere skal fremgå direkte af samtykketeksten. Som nævnt valgte Forbrugerombudsmanden at sende sagen videre til Datatilsynet og bekræftede ikke selv denne forskel i praksis, der normalt kan skabe udfordringer for organisationerne.

For det andet vurderede Datatilsynet, at samtykket var ”frivilligt” afgivet. Dette var selvom, at der alene var én tjekboks til både virksomhedens egen behandling, videregivelsen og udsendelsen. Datatilsynet begrundede dette med, at det overordnede formål i alle tilfælde var markedsføring. Med afgørelsen står det dermed klart, at et samtykke til udsendelse af markedsføring efter markedsføringslovens § 10 (f.eks. via e-mail) og en dertilhørende behandling samt videregivelse med henblik på markedsføring, ifølge Datatilsynet alene kræver én tjekboks.

For det tredje vurderede Datatilsynet, at når en virksomhed sender en bekræftelsesmail med et link til at tilbagekalde samtykket, udgør dette en tilstrækkelig let måde at tilbagekalde samtykket på efter GDPR.

Videregivelse af spørgeskemabesvarelser uden samtykket

Virksomheden indhentede også en række personoplysninger om de deltagere, der frivilligt valgte at udfylde et spørgeskema. Formålet med spørgeskemaet var at kvalificere og skræddersy markedsføringen til hver enkelt deltagers personlige behov. Virksomheden oplyste, at videregivelsen af de besvarede spørgeskemaer til samarbejdspartneren, med henblik på deres skræddersyede markedsføring, skete med hjemmel i den danske særregel i databeskyttelseslovens § 13, stk. 2. Datatilsynet vurderede, at databeskyttelseslovens § 13, stk. 2 ikke fandt anvendelse, da besvarelserne indeholdt for detaljerede kundeoplysninger. F.eks. indeholdt besvarelserne oplysninger om deltagerens specifikke mobiludbyder, tv-udbyder, hvilke streamingtjenester man benyttede og hvilket realkreditinstitut personen var kunde hos.

 
Dokument_hænder

Meget interessant vurderede Datatilsynet også, at det er meget tvivlsomt om databeskyttelseslovens § 13 generelt er forenelig med GDPR artikel 6, stk. 2-3. Derfor foretog Datatilsynet også en vurdering på baggrund af GDPR artikel 6 stk. 1, litra f. ift. videregivelsen. Datatilsynet nåede imidlertid frem til den samme vurdering efter GDPR artikel 6, stk.1, litra f. Virksomheden burde derfor have indhentet et samtykke til videregivelsen.

”Nej-tak” liste

Virksomheden opbevarede også en såkaldt ”nej tak-liste” med telefonnumre og e-mailadresser på de personer, som havde trukket samtykket tilbage. Formålet med denne liste var blandt andet at dokumentere tilbagekaldelsen for at undgå efterfølgende anvendelse af et tilbagekaldt samtykke. Opbevaringen skete på baggrund af GDPR artikel 6, stk. 1, litra f.

Datatilsynet vurderede, at når samtykket trækkes tilbage, skal behandlingen af personoplysninger ophøre. Eneste undtagelse til dette er, hvis der foregår en konkret tvist med den person, der har tilbagekaldt samtykket. Opbevaring, med henblik på at undgå anvendelse af et tilbagekaldt samtykke, var efter Datatilsynets vurdering ikke nødvendigt, hvorfor der ikke forelå en reel og nuværende interesse i opbevaringen. Virksomheden kunne heller ikke begrunde opbevaringen af kontaktoplysninger med, at behandlingen skete for at forsvare sig imod retskrav i op til 5 år efter, at samtykket var tilbagekaldt.

På denne baggrund udtalte Datatilsynet alvorlig kritik af behandlingen af personoplysninger på nej tak-listen, og meddelte et påbud om sletning af de personoplysninger, som fremgik af nej tak-listen.

Du kan læse Datatilsynets afgørelse her.

Vil du vide mere?

Du er meget velkommen til at kontakte os, hvis du ønsker rådgivning om, hvordan du indhenter og dokumenterer et lovligt samlet samtykke efter både databeskyttelsesreglerne og markedsføringsloven. Det gælder både i forbindelse med konkurrencer, via hjemmesiden, som led i kundeklubber og som betingelse for at modtage materiale.