Datatilsynet opstiller retningslinjer for direkte markedsføring
Direkte markedsføring er en hyppigt anvendt markedsføringsmetode blandt virksomheder, da det muliggør markedsføring målrettet bestemte kundekredse og endda bestemte personer, som er tilbøjelige til at købe det markedsførte produkt. De specifikke kundekredse kan eksempelvis være udpeget på baggrund af deres købshistorik, sendte e-mails, browserhistorik, foretagne opkald og taggede personer.
Når private virksomheder anvender disse data til direkte markedsføring, behandler de forbrugernes persondataoplysninger, og de skal i denne forbindelse overholde databeskyttelseslovens forpligtelser. Eksempler på direkte markedsføring inkluderer elektronisk henvendelse på mail og sms, annoncer på sociale medier og brevpost.
Datatilsynet har udgivet en vejledning om direkte markedsføring, som trådte i kraft den 30. juni 2023. Vejledningens formål er at præcisere de databeskyttelsesretlige regler, der skal iagttages ved direkte markedsføring, for at holde sig inden for lovgivningens rammer.
Gennemsigtighed for forbrugerne
Enhver oplysning der er personhenførbar, er en personoplysning i databeskyttelseslovens forstand. Det vil sige, at enhver oplysning, der fortæller noget om en person såsom navn, hårfarve, tatovering, helbredsoplysning med mere, er en personoplysning.
Datatilsynet fastslår, at det er vigtigt at overveje og begrænse sig til, hvilke oplysningerne der er nødvendige for formålet af den ønskede markedsføring. Endvidere fastslås, at forbrugerne skal informeres om alle individuelle formål hvortil oplysninger indsamles, også hvis disse formål ikke er markedsføringsmæssige.
Planlægning af markedsføringsaktiviteter
Allerede inden en markedsføringsaktivitet påbegyndes, skal man have overvejet den databeskyttelsesmæssige tilgang. Det skal navnlig overvejes:
- Hvordan man indsamler mindst mulige oplysninger til formålet
- Om oplysningernes karakter er særligt personfølsomme
- Hvilke markedsføringsaktiviteter, der ønskes foretaget
- Hvilket behandlingsgrundlag, der skal anvendes til markedsføringsaktiviteten
Valg af behandlingsgrundlag
For at kunne udføre markedsføringsaktiviteten, er det nødvendigt at have et passende behandlingsgrundlag. Behandlingsgrundlaget bør vælges under hensyn til den respektive databehandlings karakter, formål og målgruppe. Det er vigtigt at vælge et passende behandlingsgrundlag fra starten, da man ikke efterfølgende kan skifte til et andet grundlag. Vejledningen skal tydeliggøre, hvorvidt dataansvarlige skal anvende samtykke eller legitim interesse som behandlingsgrundlag.
Samtykke
Vejledningen påpeger at samtykke, trods den almene opfattelse, ikke altid er det mest passende og hensigtsmæssige behandlingsgrundlag. Visse befolkningsgrupper såsom børn, ældre mennesker og personer med psykiske vanskeligheder, kan have svært ved at forstå, at samtykket giver adgang til at indsamle samt behandle deres oplysninger, hvilke konsekvenser der kan indtræde som følge af samtykket og forholde sig kritisk til den målrettede markedsføring. Derudover er der en række betingelser, der skal være opfyldt for, at et samtykke anses for gyldigt.
Datatilsynet gør i øvrigt opmærksom på, at databehandling i relation til markedsføring, kan være underlagt andre regelsæt, herunder markedsføringsloven, forbrugeraftaleloven og cookiebekendtgørelsen. Når behandlingen er underlagt anden lovgivning, kan der være en forpligtelse til at indhente endnu et samtykke. Forpligtelsen kan for eksempel opstå, hvis der anvendes cookies og pixels som led i markedsføringen, eller hvis der sker henvendelse på e-mail. Her vil der være en forpligtelse til at indhente et samtykke efter cookiebekendtgørelsen og markedsføringsloven.
Legitim interesse
Behandling af personoplysninger kan også foretages, hvis behandlingen er nødvendig for, at en dataansvarlig eller tredjemand kan forfølge en legitim interesse. Hvorvidt der foreligger en legitim interesse, skal vurderes ud fra en interesseafvejning. Datatilsynet opstiller som noget nyt i vejledningen, en række momenter, der skal inddrages i afvejningen:
- Styrken eller intensiteten af den legitime interesse
- Konsekvenserne for de registrerede ved, at deres oplysninger behandles
- Hvad de registrerede med rimelighed kan forvente i situationen
- Den registreredes status, for eksempel barn, ældre eller anden sårbar person
- Karakteren af personoplysningerne
- Måden, hvorpå oplysningerne behandles
- Om der er etableret privatlivsfremmende foranstaltninger, for eksempel pseudonymisering
Betingelserne for, at man kan anvende legitime interesser som behandlingsgrundlag er således, at man kan identificere en legitim interesse, at man godtgør, at behandlingen er nødvendig for at forfølge den legitime interesse og at man afvejer interessen over for de registreredes interesser.
Vejledningen bekræfter, at direkte markedsføring som udgangspunkt kan anses for at være udført i en legitim interesse. Dette forudsætter dog, at den dataansvarlige forinden har foretaget den nødvendige interesseafvejning, og at den registreredes interesser og grundlæggende rettigheder og frihedsrettigheder ikke går forud for den legitime interesse.
Profilering
En særlig behandlingssituation opstår, når registreredes oplysninger anvendes til at forudsige bestemte forhold om den registrerede. Behandlingen kaldes profilering og benyttes blandt andet i markedsføringsøjemed til at forudsige en persons interesser, økonomi, geografiske position, helbred, arbejdsindsats, adfærd og pålidelighed, så den registrerede modtager markedsføring, der ud fra oplysningerne antages at være skræddersyet til denne.
Profilering kan være problematisk, da det opretholder stereotyper om den registreredes personlighedstræk, og da den registrerede oftest ikke er klar over, at denne gøres til genstand for profilering. På baggrund af dette har Datatilsynet i vejledningen forsøgt at afgrænse adgangen til at profilere registrerede gennem en række eksempler.
Eksemplerne har til formål at skitsere, hvornår henholdsvis samtykke og legitim interesse er det rette behandlingsgrundlag. Den afgørende forskel er, hvilke oplysninger der anvendes til profileringen, og hvilken karakter de har. Er der tale om oplysning af navn, adresse, telefonnummer, e-mailadresse og købshistorik, kan virksomheder som udgangspunkt anvende deres legitime interesse som behandlingsgrundlag – betinget af, at den registrerede oplyses om profilering og de tilknyttede rettigheder.
Særligt fokus på dokumentation
Datatilsynet fremhæver især vigtigheden af, at virksomheder kan påvise deres overholdelse af databeskyttelsesloven. I modsat fald, kan Datatilsynet udtale kritik af virksomheden, eller tildele denne en bøde for utilstrækkelig dokumentation.
En virksomhed skal kunne dokumentere, at alle led i databeskyttelsesloven er overholdt. Foretagne risikovurderinger og overvejelser, valg og fravalg med hensyn til en bestemt behandlingsaktivitet samt behandlingsgrundlag, skal foreligge skriftligt som belæg for efterlevelsen.
Derudover skal det dokumenteres, at virksomhedens procedurer opfylder databeskyttelseslovens betingelser såsom indhentelse af samtykke, ligesom det skal kunne påvises, at virksomhedens opsætning understøtter de registreredes rettigheder, for eksempel ret til indsigt.