Indsamling og behandling af personoplysninger til brug for direkte markedsføring

Datatilsynet har i efteråret på baggrund af en henvendelse fra Forbrugerombudsmanden truffet afgørelse i en sag om behandling af personoplysninger i forbindelse med deltagelse i internetkonkurrencer, hvor deltagerne også blev tilbudt at udfylde et spørgeskema. I forbindelse med deltagelse i konkurrencen, blev der indhentet samtykke til modtagelse af direkte markedsføring, men oplysningerne fra spørgeskemaet blev videregivet til virksomhedens samarbejdspartnere uden indhentelse af særskilt samtykke.

I sagen udtalte Datatilsynet alvorlig kritik af virksomhedens såkaldte ”nej tak-liste” – en liste hvor virksomheden opbevarede oplysninger på personer, der havde trukket deres samtykke tilbage. I denne artikel ser vi nærmere på Datatilsynets afgørelse.

Samtykke til behandling og modtagelse af direkte markedsføring

Som betingelse for deltagelse i en internetkonkurrence skulle deltagerne i ét samlet samtykke give tilladelse til behandling af visse personoplysninger, modtagelse af direkte markedsføring fra virksomheden selv og fra dennes samarbejdspartnere.

Spørgsmålet var, om virksomheden kunne indhente samtykke til alle de tre nævnte formål under én samlet samtykkeerklæring. Datatilsynet udtalte, på baggrund af en samlet vurdering, at samtykket var gyldigt indhentet. Datatilsynet lagde således til grund, at formålet med alle behandlingsaktiviteter var det samme – nemlig direkte markedsføring. Det er således fastlagt, at et samtykke til udsendelse af markedsføring jf. markedsføringslovens § 10 med en dertilhørende behandling samt videregivelse af personoplysninger med henblik på udsendelse af markedsføring, ifølge Datatilsynet kun kræver én samlet accept.

Datatilsynet fandt desuden, at samtykket var tilstrækkeligt informeret til trods for, at informationer om virksomhedens samarbejdspartnere ikke fremgik direkte af tekstfeltet, men alene fremgik via et link i tekstfeltet.

Virksomheder, der benytter sig af direkte markedsføring, skal dog også sikre, at markedsføringslovens regler om spam overholdes. Forbrugerombudsmanden har i sin vejledning om spam anført, at oplysning om relevante samarbejdspartnere skal fremgå tydeligt, og derfor ikke må gemmes væk i et link. Vi anbefaler derfor fortsat at navne på samarbejdspartnere fremgår direkte i tekstfeltet i forbindelse med indhentelse af samtykke.

Videregivelse af oplysninger indhentet i et spørgeskema

Efter deltagelsen i konkurrencen blev deltagerne tilbudt at besvare et spørgeskema. Dette var frivilligt, og deltagelse i konkurrencen forudsatte således ikke, at spørgeskemaet tillige blev udfyldt. Det drejede sig bl.a. om oplysning om deltagerens realkreditinstitut, oplysning om deltagerens anvendte streamingtjenester mv.  Formålet med spørgeskemaet var at indhente mere specifikke oplysninger om personerne for at kunne målrette markedsføringsmaterialet. Oplysningerne fra dette spørgeskema blev også videregivet til virksomhedens samarbejdspartnere.

Virksomheden hævdede under sagen, at videregivelsen af disse oplysninger skete med hjemmel i databeskyttelseslovens § 13, stk. 2 om videregivelse af generelle kundeoplysninger uden samtykke. Datatilsynet fandt dog, at bestemmelsen var uanvendelig i den foreliggende situation, idet oplysningerne var for detaljerede og dermed ikke kunne betegnes som generelle kundeoplysninger.

I den forbindelse udtalte Datatilsynet sågar, at det er tvivlsomt hvorvidt reglen i databeskyttelseslovens § 13, stk. 2, overhovedet er i overensstemmelse med det nationale spillerum, der tillades EU-medlemsstaterne i persondataforordningens artikel 6, stk. 2-3.

Datatilsynet undlod således at anvende reglen i databeskyttelseslovens § 13, stk. 2, fordi oplysningerne til dels var for konkrete og fordi det efter EU-retten påhviler Datatilsynet at undlade at anvende nationale lovbestemmelser, hvis det vil være i strid med umiddelbart anvendelige EU-regler. Persondataforordningen er netop kendetegnet ved at være umiddelbart anvendelig i medlemsstaterne.

Datatilsynet vurderede derfor også spørgsmålet efter persondataforordningens interesseafvejningsregel i artikel 6, stk.1, litra f. Datatilsynet vurderede, at artikel 6, stk. 1, litra f ikke kunne finde anvendelse som behandlingsgrundlag i den konkrete situation, hvorfor der burde have været indhentet særskilt samtykke til videregivelse af oplysningerne i spørgeskemaet til virksomhedens samarbejdspartnere.

Opbevaring af samtykkeoplysninger og tilbagekald af samtykke

Under sagen oplyste virksomheden, at der blev opbevaret personoplysninger med det formål at kunne dokumentere, at der var indhentet samtykke. Denne praksis blev også benyttet i situationer, hvor den registrerede havde trukket sit samtykke tilbage. Virksomheden registrerede således telefonnummer og e-mailadresse på registrerede, som havde trukket sit samtykke tilbage på en såkaldt ”nej tak-liste”.

Datatilsynet udtalte, at oplysninger, der blev behandlet i henhold til et samtykke, i udgangspunktet skulle slettes, såfremt den registrerede havde tilbagekaldt sit samtykke. Dog er det Datatilsynets opfattelse, at opbevaring i en begrænset periode efter tilbagekaldelsen er tilladt, såfremt der består en reel og nuværende interesse i at gemme oplysningerne. Dette gælder eksempelvis, hvis der er en konkret tvist med den person, der har tilbagekaldt samtykket. Det er således ikke nok at, der alene er en hypotetisk risiko for at virksomheden skal dokumentere, at et samtykke er kaldt tilbage.

Derfor vurderede Datatilsynet, at ”nej tak-listen” var en unødvendig databehandling i strid med persondataforordningens artikel 5, stk. 1, litra c (princippet om dataminimering) og artikel 6, stk. 1, litra f (nødvendighedskriteriet). Datatilsynet udtalte på den baggrund alvorlig kritik af ”nej tak-listen” og meddelte virksomheden et påbud om at slette denne.

Det er vores anbefaling, at virksomheder ikke gemmer personoplysninger (herunder mailadresser, navne, telefonnumre m.v.), efter at et samtykke til eksempelvis modtagelse af direkte markedsføring er trukket tilbage. Selve opbevaringen af sådanne persondata er en behandling i sig selv (også selvom der ikke længere udsendes markedsføring til personen), hvorfor sådanne persondata skal slettes, når samtykket trækkes tilbage. I den forbindelse kan det derfor være en god idé at tjekke, om eventuelle nyhedsbrev-systemer er indstillet til at gemme sådanne persondata, efter et samtykke er trukket tilbage.

Opbevaringsperioden

Både oplysningerne på ”nej tak-listen” og de øvrige personoplysninger blev af virksomheden generelt opbevaret i 5 år. Dette skete, ifølge virksomheden, af dokumentationshensyn i tilfælde af en eventuel klage og som en foranstaltning imod, at man ved en fejl anvendte et tilbagekaldt samtykke. Opbevaringsperioden på 5 år var fastsat med udgangspunkt i forældelsesfristen i databeskyttelseslovens § 41, stk. 7.

Datatilsynet vurderede, at opbevaringsperioden ikke var i overensstemmelse med nødvendighedskravet i persondataforordningens artikel 5, stk. 1, litra e, idet den blotte mulighed for, at en straffesag måtte blive rejst, ikke berettigede eller nødvendiggjorde, at personoplysninger blev opbevaret i 5 år.

Datatilsynet udtalte i den forbindelse alvorlig kritik af virksomhedens opbevaringsperiode, og henstillede til at virksomheden reviderede opbevaringsperiodens længde under hensyntagen til den generelle nødvendighed i af at opbevare de pågældende oplysninger.

Det er vores anbefaling, at virksomheder har en nedskreven politik, der også efterleves, for opbevarings- og slettefrister i forhold til de forskellige kategorier af persondata og de forskellige behandlinger.   

Du kan læse Datatilsynets afgørelse her.

Vil du vide mere

Hvis du har behov for hjælp til håndtering af virksomhedens direkte markedsføring, samtykker og slettepolitikker m.v., står vi klar til at rådgive dig.