Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynets vejledning om direkte markedsføring – hvad er nyt?

Bech Bruun
10/07/2023
Datatilsynets vejledning om direkte markedsføring – hvad er nyt?
Bech Bruun logo
Datatilsynet har netop offentliggjort sin længe ventede vejledning, som beskriver de regler i GDPR, der er særligt relevante, når organisationer behandler personoplysninger med henblik på direkte markedsføring. Vejledningen indeholder blandet andet en ny fortolkning i forhold til anvendelsen af legitime interesser som retsgrundlag, annoncering via sociale medier, grænserne for profilering og brugen af ”dobbeltsamtykker”.

Direkte markedsføring spiller en altafgørende rolle for organisationernes overlevelse. Direkte markedsføring defineres af Datatilsynet som den situation, hvor den dataansvarlige henvender sig til en eller flere bestemte personer i et kommercielt øjemed. Det kan både være via e-mail, direkte beskeder på sociale medier og konkret annoncering. Som led i denne direkte markedsføring anvender organisationer ofte en lang række marketingværktøjer i form af blandt andet nyhedsbreve, profileringstools, pixels, cookies, annoncer og sociale plugins.


Forudsætningen for at bruge disse marketingværktøjer er dog, at GDPR bliver overholdt fra start til slut. Det skyldes, at disse marketingværktøjer ofte indebærer en behandling af personoplysninger. Samtidig skal organisationer, udover at overholde GDPR, også overveje om reglerne i markedsføringsloven, forbrugeraftaleloven og cookiebekendtgørelsen med videre skal overholdes. 


En del af Datatilsynets nye vejledning om direkte markedsføring indeholder ikke i sig selv nye vurderinger eller fortolkninger, men udgør stadig en vigtig påmindelse om de fundamentale regler i GDPR, der skal være på plads for at kunne behandle personoplysninger til direkte markedsføring. Det gælder blandt andet kravene til at kortlægge behandlingsaktiviteterne, dokumentere lovligheden, dataminimering, sletning, overholdelse af oplysningspligten og særlige krav til at behandle personoplysninger om børn i markedsføringsøjemed.


Vejledningen indeholder dog også nye fortolkninger og vurderinger af en række direkte markedsføringsaktiviteter, der anvendes i et stort omfang af mange organisationer. Nedenfor har vi udvalgt og redegjort for de væsentligste nye fortolkningsbidrag.


Legitime interesser som retsgrundlag

Datatilsynet indskærper i vejledningen, at den dataansvarlige altid skal kunne dokumentere og påvise lovligheden af legitime interesser (interesseafvejningsreglen), som grundlag for en behandling af personoplysninger, med henblik på direkte markedsføring. I praksis indebærer dette (navnlig ved mere indgribende behandlinger), at den dataansvarlige skal udarbejde en skriftlig vurdering med inddragelse af: 


  • Styrken eller intensiteten af den legitime interesse. 
  • Konsekvenserne for de registrerede ved, at den dataansvarlige behandler oplysningerne. 
  • Hvad de registrerede med rimelighed kan forvente i situationen.
  • Den registreredes status, for eksempel barn, ældre eller anden sårbar person.
  • Karakteren af personoplysningerne.
  • Måden, hvorpå oplysningerne behandles.
  • Om der er etableret ekstra privatlivsfremmende foranstaltninger, for eksempel pseudonymisering af oplysningerne.


Vurderingen ovenfor kaldes i praksis for LIA (legitimate interest assessment), som dataansvarlige altså skal udarbejde på lige fod med risikovurderinger og transfer impact assessments. Datatilsynet angiver samtidig i vejledningen, at en ”kontrakt” (GDPR artikel 6, stk. 1, litra b), i modsætning til interesseafvejningsreglen, ikke generelt kan anvendes som grundlag for behandling af personoplysninger til direkte markedsføring. Meta har for nylig modtaget en bøde på 390 millioner euro for utilstrækkeligt retsgrundlag til brug for direkte markedsføring.


Profilering med eller uden samtykke

Profilering er den situation, hvor en organisation forsøger at vurdere personlige forhold om en fysisk person. Det sker typisk med henblik på at udsende skræddersyet markedsføring. Datatilsynet angiver i vejledningen, at profilering enten kan ske på baggrund af interesseafvejningsreglen eller et samtykke. Datatilsynet fastlægger via flere eksempler en målestok for, hvornår et samtykke er påkrævet og hvornår den dataansvarlige omvendt kan anvende interesseafvejningsreglen.


Samtykke påkrævet

Datatilsynet nævner et eksempel, hvor en organisation foretager en profilering på baggrund af oplysninger om varekøb, tidspunkter for indkøb samt kundens bevægelsesmønster i butikkens lokaler, ved brug af beacons, med henblik på udsendelse af tilbud og for at opbygge profiler. Denne profilering kræver ifølge Datatilsynet et samtykke.


Sporing og profilering af fysiske personer på tværs af hjemmesider med henblik på målrettet markedsføring, som led i real time bidding, vil ifølge Datatilsynet også generelt kræve et samtykke.


Samtykke ikke påkrævet

Profilering på baggrund af oplysninger om navn, adresse, telefonnummer, e-mailadresse og købshistorik med henblik på markedsføring, kan ifølge Datatilsynet omvendt basere sig på interesseafvejningsreglen forudsat, at de registrerede er blevet tydeligt informeret om behandlingen og har fået mulighed for at gøre indsigelse.


”Dobbelt op” på samtykke

Den dataansvarlige vil i flere tilfælde være forpligtet til at indhente endnu et samtykke, som led i direkte markedsføring, herunder for at kunne placere cookies og pixels med videre (cookiebekendtgørelsen), for at sende markedsføring via for eksempel e-mail (markedsføringsloven) og for at kunne ringe til forbrugere i markedsføringsøjemed (forbrugeraftaleloven). Datatilsynet indskærper generelt i vejledningen, at hvis det er nødvendigt at indhente et samtykke efter disse lovgivninger, vil retsgrundlaget for behandlingen af personoplysninger til direkte markedsføring samtidig også være et samtykke. Dette understøtter holdningen fra EDPB. I vejledningens eksempel 8 nævner Datatilsynet blandt andet, at det generelt vil kræve et samtykke efter både GDPR og cookiebekendtgørelsen, hvis spy pixels implementeres via nyhedsbreve. Dette er en præcisering af Datatilsynets tidligere afgørelse, der vedrørte Vækstfondens brug af spypixels. Det er dog tilladt for den dataansvarlige at indhente ét samlet samtykke efter både GDPR og den anden relevante lovgivning. Det kunne for eksempel være et samtykke til, dels at profilere, dels at sende markedsføring via e-mail med videre.


Hvis den dataansvarlige omvendt ikke skal bruge et samtykke efter anden lovgivning, kan den dataansvarlige som udgangspunkt bruge interesseafvejningsreglen. Datatilsynet nævner for eksempel, at et forsikringsselskab, der må ringe til forbrugere uden et samtykke efter forbrugeraftaleloven, ikke skal indhente et samtykke efter GDPR for denne behandling. I stedet kan forsikringsselskabet anvende interesseafvejningsreglen.


Annoncering via sociale medier 

I vejledningen beskriver Datatilsynet via eksempel 11 den situation, hvor en organisation overlader en kundes e-mailadresse til et sociale medie, med det formål at matche organisationens liste over e-mailadresser med de e-mailadresser, som den sociale medieplatform ligger inde med. Organisationen kan på den måde målrette markedsføring af tilsvarende produkter til kunderne på det sociale medie via annoncer. Datatilsynet vurderer, at behandlingen kan ske ud fra interesseafvejningsreglen forudsat, at den dataansvarlige har informeret kunden om, at e-mailadressen vil blive brugt til dette formål og forudsat, at kunden har fået mulighed for at gøre indsigelse. 


Fremgangsmåden minder meget om lookalike audience og custom audience (via for eksempel Facebook og Google), og Datatilsynet åbner dermed i en vis grad op for, at dette kan ske uden et samtykke. Datatilsynet tager dog ikke stilling til de problemer, der kan gøre sig gældende, hvis der er tale om et fælles dataansvar med det sociale medie. Disse problemstillinger er blandt andet afdækket i Datatilsynets seneste afgørelse over for Boligportalen i relation til Facebook Business Tools.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
Hvordan håndterer du dine medarbejderes brug af kunstig intelligens (AI)?
26/04/2024
Persondata, Immaterialret, Øvrige
Enig med Generaladvokaten: EU-Domstolens afgørelse i forældelsessag mod Google
Enig med Generaladvokaten: EU-Domstolens afgørelse i forældelsessag mod Google
06/05/2024
EU-ret, E-handel og markedsføring, Konkurrenceret
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
Overtrædelse af GDPR: Erstatning for ikke-økonomisk skade
06/05/2024
Persondata, Forsikring og erstatning
Nyt nordisk standpunkt: Brug af markedsføringsudsagn om klimakompensation
Nyt nordisk standpunkt: Brug af markedsføringsudsagn om klimakompensation
15/05/2024
E-handel og markedsføring
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted