Datatilsynet har netop offentliggjort sin længe ventede vejledning, som beskriver de regler i GDPR, der er særligt relevante, når organisationer behandler personoplysninger med henblik på direkte markedsføring. Vejledningen indeholder blandet andet en ny fortolkning i forhold til anvendelsen af legitime interesser som retsgrundlag, annoncering via sociale medier, grænserne for profilering og brugen af ”dobbeltsamtykker”.
Direkte markedsføring spiller en altafgørende rolle for organisationernes overlevelse. Direkte markedsføring defineres af Datatilsynet som den situation, hvor den dataansvarlige henvender sig til en eller flere bestemte personer i et kommercielt øjemed. Det kan både være via e-mail, direkte beskeder på sociale medier og konkret annoncering. Som led i denne direkte markedsføring anvender organisationer ofte en lang række marketingværktøjer i form af blandt andet nyhedsbreve, profileringstools, pixels, cookies, annoncer og sociale plugins.
Forudsætningen for at bruge disse marketingværktøjer er dog, at GDPR bliver overholdt fra start til slut. Det skyldes, at disse marketingværktøjer ofte indebærer en behandling af personoplysninger. Samtidig skal organisationer, udover at overholde GDPR, også overveje om reglerne i markedsføringsloven, forbrugeraftaleloven og cookiebekendtgørelsen med videre skal overholdes.
En del af Datatilsynets nye vejledning om direkte markedsføring indeholder ikke i sig selv nye vurderinger eller fortolkninger, men udgør stadig en vigtig påmindelse om de fundamentale regler i GDPR, der skal være på plads for at kunne behandle personoplysninger til direkte markedsføring. Det gælder blandt andet kravene til at kortlægge behandlingsaktiviteterne, dokumentere lovligheden, dataminimering, sletning, overholdelse af oplysningspligten og særlige krav til at behandle personoplysninger om børn i markedsføringsøjemed.
Vejledningen indeholder dog også nye fortolkninger og vurderinger af en række direkte markedsføringsaktiviteter, der anvendes i et stort omfang af mange organisationer. Nedenfor har vi udvalgt og redegjort for de væsentligste nye fortolkningsbidrag.
Legitime interesser som retsgrundlag
Datatilsynet indskærper i vejledningen, at den dataansvarlige altid skal kunne dokumentere og påvise lovligheden af legitime interesser (interesseafvejningsreglen), som grundlag for en behandling af personoplysninger, med henblik på direkte markedsføring. I praksis indebærer dette (navnlig ved mere indgribende behandlinger), at den dataansvarlige skal udarbejde en skriftlig vurdering med inddragelse af:
- Styrken eller intensiteten af den legitime interesse.
- Konsekvenserne for de registrerede ved, at den dataansvarlige behandler oplysningerne.
- Hvad de registrerede med rimelighed kan forvente i situationen.
- Den registreredes status, for eksempel barn, ældre eller anden sårbar person.
- Karakteren af personoplysningerne.
- Måden, hvorpå oplysningerne behandles.
- Om der er etableret ekstra privatlivsfremmende foranstaltninger, for eksempel pseudonymisering af oplysningerne.
Vurderingen ovenfor kaldes i praksis for LIA (legitimate interest assessment), som dataansvarlige altså skal udarbejde på lige fod med risikovurderinger og transfer impact assessments. Datatilsynet angiver samtidig i vejledningen, at en ”kontrakt” (GDPR artikel 6, stk. 1, litra b), i modsætning til interesseafvejningsreglen, ikke generelt kan anvendes som grundlag for behandling af personoplysninger til direkte markedsføring. Meta har for nylig modtaget en bøde på 390 millioner euro for utilstrækkeligt retsgrundlag til brug for direkte markedsføring.
Profilering med eller uden samtykke
Profilering er den situation, hvor en organisation forsøger at vurdere personlige forhold om en fysisk person. Det sker typisk med henblik på at udsende skræddersyet markedsføring. Datatilsynet angiver i vejledningen, at profilering enten kan ske på baggrund af interesseafvejningsreglen eller et samtykke. Datatilsynet fastlægger via flere eksempler en målestok for, hvornår et samtykke er påkrævet og hvornår den dataansvarlige omvendt kan anvende interesseafvejningsreglen.
Samtykke påkrævet
Datatilsynet nævner et eksempel, hvor en organisation foretager en profilering på baggrund af oplysninger om varekøb, tidspunkter for indkøb samt kundens bevægelsesmønster i butikkens lokaler, ved brug af beacons, med henblik på udsendelse af tilbud og for at opbygge profiler. Denne profilering kræver ifølge Datatilsynet et samtykke.
Sporing og profilering af fysiske personer på tværs af hjemmesider med henblik på målrettet markedsføring, som led i real time bidding, vil ifølge Datatilsynet også generelt kræve et samtykke.
Samtykke ikke påkrævet
Profilering på baggrund af oplysninger om navn, adresse, telefonnummer, e-mailadresse og købshistorik med henblik på markedsføring, kan ifølge Datatilsynet omvendt basere sig på interesseafvejningsreglen forudsat, at de registrerede er blevet tydeligt informeret om behandlingen og har fået mulighed for at gøre indsigelse.
”Dobbelt op” på samtykke
Den dataansvarlige vil i flere tilfælde være forpligtet til at indhente endnu et samtykke, som led i direkte markedsføring, herunder for at kunne placere cookies og pixels med videre (cookiebekendtgørelsen), for at sende markedsføring via for eksempel e-mail (markedsføringsloven) og for at kunne ringe til forbrugere i markedsføringsøjemed (forbrugeraftaleloven). Datatilsynet indskærper generelt i vejledningen, at hvis det er nødvendigt at indhente et samtykke efter disse lovgivninger, vil retsgrundlaget for behandlingen af personoplysninger til direkte markedsføring samtidig også være et samtykke. Dette understøtter holdningen fra EDPB. I vejledningens eksempel 8 nævner Datatilsynet blandt andet, at det generelt vil kræve et samtykke efter både GDPR og cookiebekendtgørelsen, hvis spy pixels implementeres via nyhedsbreve. Dette er en præcisering af Datatilsynets tidligere afgørelse, der vedrørte Vækstfondens brug af spypixels. Det er dog tilladt for den dataansvarlige at indhente ét samlet samtykke efter både GDPR og den anden relevante lovgivning. Det kunne for eksempel være et samtykke til, dels at profilere, dels at sende markedsføring via e-mail med videre.
Hvis den dataansvarlige omvendt ikke skal bruge et samtykke efter anden lovgivning, kan den dataansvarlige som udgangspunkt bruge interesseafvejningsreglen. Datatilsynet nævner for eksempel, at et forsikringsselskab, der må ringe til forbrugere uden et samtykke efter forbrugeraftaleloven, ikke skal indhente et samtykke efter GDPR for denne behandling. I stedet kan forsikringsselskabet anvende interesseafvejningsreglen.
Annoncering via sociale medier
I vejledningen beskriver Datatilsynet via eksempel 11 den situation, hvor en organisation overlader en kundes e-mailadresse til et sociale medie, med det formål at matche organisationens liste over e-mailadresser med de e-mailadresser, som den sociale medieplatform ligger inde med. Organisationen kan på den måde målrette markedsføring af tilsvarende produkter til kunderne på det sociale medie via annoncer. Datatilsynet vurderer, at behandlingen kan ske ud fra interesseafvejningsreglen forudsat, at den dataansvarlige har informeret kunden om, at e-mailadressen vil blive brugt til dette formål og forudsat, at kunden har fået mulighed for at gøre indsigelse.
Fremgangsmåden minder meget om lookalike audience og custom audience (via for eksempel Facebook og Google), og Datatilsynet åbner dermed i en vis grad op for, at dette kan ske uden et samtykke. Datatilsynet tager dog ikke stilling til de problemer, der kan gøre sig gældende, hvis der er tale om et fælles dataansvar med det sociale medie. Disse problemstillinger er blandt andet afdækket i Datatilsynets seneste afgørelse over for Boligportalen i relation til Facebook Business Tools.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
