Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

GDPR og markedsføring – ny afgørelse fra Datatilsynet

Bech-Bruun
27/10/2022
GDPR og markedsføring – ny afgørelse fra Datatilsynet
Bech-Bruun logo
Datatilsynet har i en ny afgørelse kastet lys over behandling af personoplysninger i forbindelse med markedsføring og internetkonkurrencer. I afgørelsen forholder Datatilsynet sig blandt andet til kravene for indhentelse af et samtykke med henblik på markedsføring, videregivelse af personoplysninger uden et samtykke til brug for markedsføring, og muligheden for at opbevare en ”nej-tak” liste.

Afgørelsen vedrører en virksomhed, som Datatilsynet indledte en sag mod på baggrund af en henvendelse fra Forbrugerombudsmanden. Det skyldes, at sagen primært vedrørte behandlingen af personoplysninger med henblik på markedsføring, og ikke selve udsendelsen af markedsføringen.


Virksomheden indhentede samtykker fra konkurrencedeltagerne, med henblik på behandling af personoplysninger til brug for markedsføring, fra både virksomheden selv og en lang række samarbejdspartnere.


Særligt tre forhold i afgørelsen er interessante at se nærmere på.


Var samtykket lovligt indhentet?

Virksomheden indsamlede konkurrencedeltagernes samtykke til både egen behandling af oplysninger og videregivelse af personoplysninger til samarbejdspartneren med henblik på direkte markedsføring.


Datatilsynet vurderede, at samtykket var gyldigt indhentet. Særligt tre af Datatilsynets vurderinger er interessante at se nærmere på.


For det første var samtykket tilstrækkeligt ”informeret”, selvom samtykkemodtagernes (samarbejdspartnernes) juridiske navne alene fremgik via et link. Dette står i modsætning til Forbrugerombudsmandens SPAM-vejledning, hvorefter samarbejdspartnere skal fremgå direkte af samtykketeksten. Som nævnt valgte Forbrugerombudsmanden at sende sagen videre til Datatilsynet og bekræftede ikke selv denne forskel i praksis, der normalt kan skabe udfordringer for organisationerne.


For det andet vurderede Datatilsynet, at samtykket var ”frivilligt” afgivet. Dette var selvom, at der alene var én tjekboks til både virksomhedens egen behandling, videregivelsen og udsendelsen. Datatilsynet begrundede dette med, at det overordnede formål i alle tilfælde var markedsføring. Med afgørelsen står det dermed klart, at et samtykke til udsendelse af markedsføring efter markedsføringslovens § 10 (f.eks. via e-mail) og en dertilhørende behandling samt videregivelse med henblik på markedsføring, ifølge Datatilsynet alene kræver én tjekboks.


For det tredje vurderede Datatilsynet, at når en virksomhed sender en bekræftelsesmail med et link til at tilbagekalde samtykket, udgør dette en tilstrækkelig let måde at tilbagekalde samtykket på efter GDPR.


Videregivelse af spørgeskemabesvarelser uden samtykket

Virksomheden indhentede også en række personoplysninger om de deltagere, der frivilligt valgte at udfylde et spørgeskema. Formålet med spørgeskemaet var at kvalificere og skræddersy markedsføringen til hver enkelt deltagers personlige behov. Virksomheden oplyste, at videregivelsen af de besvarede spørgeskemaer til samarbejdspartneren, med henblik på deres skræddersyede markedsføring, skete med hjemmel i den danske særregel i databeskyttelseslovens § 13, stk. 2. Datatilsynet vurderede, at databeskyttelseslovens § 13, stk. 2 ikke fandt anvendelse, da besvarelserne indeholdt for detaljerede kundeoplysninger. F.eks. indeholdt besvarelserne oplysninger om deltagerens specifikke mobiludbyder, tv-udbyder, hvilke streamingtjenester man benyttede og hvilket realkreditinstitut personen var kunde hos.


Meget interessant vurderede Datatilsynet også, at det er meget tvivlsomt om databeskyttelseslovens § 13 generelt er forenelig med GDPR artikel 6, stk. 2-3. Derfor foretog Datatilsynet også en vurdering på baggrund af GDPR artikel 6 stk. 1, litra f. ift. videregivelsen. Datatilsynet nåede imidlertid frem til den samme vurdering efter GDPR artikel 6, stk.1, litra f. Virksomheden burde derfor have indhentet et samtykke til videregivelsen.


”Nej-tak” liste

Virksomheden opbevarede også en såkaldt ”nej tak-liste” med telefonnumre og e-mailadresser på de personer, som havde trukket samtykket tilbage. Formålet med denne liste var blandt andet at dokumentere tilbagekaldelsen for at undgå efterfølgende anvendelse af et tilbagekaldt samtykke. Opbevaringen skete på baggrund af GDPR artikel 6, stk. 1, litra f.


Datatilsynet vurderede, at når samtykket trækkes tilbage, skal behandlingen af personoplysninger ophøre. Eneste undtagelse til dette er, hvis der foregår en konkret tvist med den person, der har tilbagekaldt samtykket. Opbevaring, med henblik på at undgå anvendelse af et tilbagekaldt samtykke, var efter Datatilsynets vurdering ikke nødvendigt, hvorfor der ikke forelå en reel og nuværende interesse i opbevaringen. Virksomheden kunne heller ikke begrunde opbevaringen af kontaktoplysninger med, at behandlingen skete for at forsvare sig imod retskrav i op til 5 år efter, at samtykket var tilbagekaldt.


På denne baggrund udtalte Datatilsynet alvorlig kritik af behandlingen af personoplysninger på nej tak-listen, og meddelte et påbud om sletning af de personoplysninger, som fremgik af nej tak-listen.


Du kan læse Datatilsynets afgørelse her.


Vil du vide mere?

Du er meget velkommen til at kontakte os, hvis du ønsker rådgivning om, hvordan du indhenter og dokumenterer et lovligt samlet samtykke efter både databeskyttelsesreglerne og markedsføringsloven. Det gælder både i forbindelse med konkurrencer, via hjemmesiden, som led i kundeklubber og som betingelse for at modtage materiale.  

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech-Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Dyre ord: Millionbøde for vildledende miljøudsagn
Dyre ord: Millionbøde for vildledende miljøudsagn
21/11/2024
E-handel og markedsføring
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Andel Energis varsling af aftaleændringer levede ikke op til reglerne
Andel Energis varsling af aftaleændringer levede ikke op til reglerne
02/12/2024
Kontraktret, E-handel og markedsføring
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
05/12/2024
E-handel og markedsføring, EU-ret, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted