Datatilsynet har udgivet en vejledning, der udvider forståelsen af direkte markedsføring til også at omfatte forberedende databehandling som indsamling, profilering, lead-udvælgelse og deling med tredjeparter. Vejledningen skærper kravene til formålsbeskrivelser, samtykke og dokumentation. Den officielle vejledning kan læses hos Datatilsynet på datatilsynet.dk.
Definition og rækkevidde
Direkte markedsføring forstås som henvendelser til identificerede personer i kommercielt øjemed, men omfatter også de bagvedliggende behandlinger. Det betyder, at en række digitale initiativer falder ind under vejledningen, selv om de ikke altid er udsendelse af beskeder.
Datatilsynets afgrænsning er bredere end Forbrugerombudsmandens, som primært vedrører spamforbuddet. Eksempelvis kan visse bannerannoncer være omfattet databeskyttelsesretligt uden at udgøre direkte markedsføring i markedsføringslovens forstand.
Samtykke, formål og granulering
Formål må ikke blot beskrives som "markedsføring". Konkrete aktiviteter skal specificeres i samtykketekster og privatlivspolitikker, herunder forskellen mellem simple e-mailudsendelser og profilering baseret på købshistorik.
Samtykker skal granulere formål og kan opdeles i flere afkrydsningsbokse på tværs af GDPR, markedsføringsloven og cookieregler. Et informeret samtykke kræver oplysning om dataansvarlig, formål, datatyper og retten til at trække samtykke tilbage.
Profilering kontra segmentering
Profilering er automatiseret evaluering af personlige forhold og indebærer væsentlige risici, herunder fastlåsning og potentiel diskrimination. Profilering af børn og andre sårbare grupper bør som udgangspunkt undgås.
Segmentering baseres på kendte karakteristika som alder eller køn og er mindre indgribende. Sammenstilling af oplysninger fra flere kilder, fx købshistorik og browserdata, vil ofte kræve samtykke.
Behandlingsgrundlag og dokumentation
Hvor markedsføringsloven eller cookieregler kræver samtykke, vil GDPR typisk også kræve samtykke. Tilmelding efter markedsføringslovens § 10, stk. 1, forudsætter derfor normalt samtykke efter GDPR art. 6, stk. 1, litra a. Opt-out efter § 10, stk. 2, eller markedsføring pr. brev kan baseres på legitime interesser.
Virksomheder skal fastsætte og dokumentere slettefrister, gennemføre og dokumentere en LIA ved brug af legitime interesser og sikre, at efterfølgende brug til markedsføring er forenelig med det oprindelige formål. Kravene bør indarbejdes gennem privacy by design og privacy by default.
