Direkte markedsføring - ny vejledning fra Datatilsynet
Definition af direkte markedsføring
Vejledningen definerer direkte markedsføring som henvendelse til en eller flere bestemte personer i et kommercielt øjemed. Definitionen omfatter også de forberedende behandlingsaktiviteter som indsamling af data, profilering, udvælgelse af leads og deling med tredjeparter.
Anvendelsesområdet for vejledningen er derfor bredere i Datatilsynets vejledning end Forbrugerombudsmandens vejledning, som alene omfatter selve udsendelsen af spamforbuddet. Visse digitale tiltag, eksempelvis bannerannoncer, er omfattet af Datatilsynets vejledning, men udgør ifølge Forbrugerombudsmanden ikke direkte markedsføring i markedsføringslovens forstand.
Formålsbeskrivelse
Ifølge vejledningen indebærer markedsføring ofte en lang række behandlingsaktiviteter. Af samme grund vil det ofte ikke være tilstrækkeligt blot at angive formålet som "markedsføring". I stedet skal de enkelte markedsføringsaktiviteter (formålet med den direkte markedsføring) beskrives både i samtykketekster og privatlivspolitikker. Der er for eksempel forskel på gennemførelse af e-mailkampagner alene baseret på en e-mailadresse og profilering på baggrund af købshistorik.
Som en del af et informeret samtykke skal der oplyses om den dataansvarliges identitet, formål(ene), hvilke oplysninger, der påtænkes behandlet, og om retten til at trække samtykket tilbage. Det gælder, uanset om markedsføringen sker via eksempelvis hjemmesider, annoncer på sociale medier eller nyhedsbreve.
Granulering
Behandlingsformål(ene) skal granuleres og - afhængig af omstændighederne - eventuelt opdeles i flere afkrydsningsbokse, hvilket giver de registrerede mulighed for frit at vælge mellem forskellige formål. Der kan godt afgives flere forskellige samtykker på tværs af markedsføringsloven, GDPR og cookiebekendtgørelsen samtidigt, men de skal hver for sig være klart beskrevet.
Profilering
Profilering er en automatisk behandling på grundlag af personoplysninger, hvis formål er at vurdere personlige forhold om den fysiske person, eksempelvis forudsigelser af adfærd eller præferencer. Profilering indebærer ifølge Datatilsynets vejledning væsentlige risici for at fastlåse personer i bestemte kategorier og derved begrænse muligheder for andre præferencer. Profilering kan ligeledes føre til, at den registrerede bliver nægtet adgang til tjenester eller bliver udsat for diskrimination.
Vejledningen bidrager også til en afgrænsning af begrebet "profilering" over for "segmentering". Profilering indebærer en evaluering af de personlige forhold, for eksempel en forudsigelse af en sandsynlighed for, at vedkommende vil købe et produkt. Segmentering bliver derimod foretaget mere objektivt ud fra allerede kendte karakteristika som alder eller køn.
I visse tilfælde bør profilering ifølge vejledningen helt afskæres. Det gælder blandt andet profilering af børn og personer, der er sårbare som følge af mental, fysisk eller psykisk svaghed, alder eller af økonomiske årsager.
Behandlingsgrundlag
Datatilsynet giver i vejledningen en række konkrete eksempler på, hvornår legitime interesser kan blive anvendt som behandlingsgrundlag ved direkte markedsføring, og hvornår samtykke er nødvendigt. Datatilsynet mener, at hvis der er krav om samtykke efter markedsføringsloven og cookiebekendtgørelsen, vil der ofte også være krav om samtykke efter GDPR.
Datatilsynet angiver eksempelvis i vejledningens eksempel 4, at modtagere, der tilmelder sig e-mailmarkedsføring på baggrund af permission efter § 10, stk. 1, i markedsføringsloven også skal give samtykke til behandlingen af personoplysninger efter artikel 6, stk. 1, litra a, i GDPR.
Det følger omvendt af eksempel 5 og 8, at de legitime interesser kan blive anvendt som behandlingsgrundlag, når tilmeldingen til e-mailmarkedsføring sker efter opt-out-reglen i § 10, stk. 2, i markedsføringsloven, eller der bliver sendt markedsføring pr. brev.
I relation til profilering giver Datatilsynet en række konkrete eksempler på, hvornår legitime interesser kan anvendes som behandlingsgrundlag, og hvornår profilering er så indgribende, at samtykke er nødvendigt, eller at profilering slet ikke må foretages.
Eksempelvis vil det ofte kræve samtykke at sammenstille oplysninger fra flere kilder, blandt andet oplysninger om indkøb på en hjemmeside og browserdata, for at foretage profileringen.
Dokumentation
Som ved alle former for behandling skal den dataansvarlige tage konkret stilling til, hvor længe personoplysninger bliver opbevaret, og både slettefrister og implementeringen heraf skal dokumenteres.
Ved brug af legitime interesser som behandlingsgrundlag skal virksomheden udarbejde en LIA (Legitimate Interest Assessment), som dokumenterer, at virksomhedens interesse i at foretage direkte markedsføring overstiger den registreredes ret til privatliv. Detaljegraden i LIA'en afhænger af, hvor indgribende behandlingen er over for den registrerede.
I situationer hvor behandling til direkte markedsføringsformål sker efter den oprindelige indsamling af oplysninger, skal den dataansvarlige dokumentere, at den efterfølgende behandling ikke er uforenelig med de(t) oprindelige formål med behandlingen.
Næste skridt
Vejledningen vil for langt de fleste dataansvarlige nødvendiggøre et genbesøg af samtykker og privatlivspolitikker samt eventuelt opdatering af dokumentationen for behandlinger baseret på interesseafvejninger i en LIA. Der kan dernæst også være behov for opdatering af dokumentation for privacy gennem design og gennem standardindstillinger i forbindelse med markedsføringsaktiviteter.
Vejledningen kan findes på Datatilsynets hjemmeside.
Som altid står vores specialister i databeskyttelse klar til at dele ud af vores erfaringer og hjælpe med de nødvendige tiltag. Du er altid velkommen til at række ud.