Datatilsynet præciserer, at direkte markedsføring også omfatter de databehandlinger, der muliggjør henvendelser til enkeltpersoner, fx indsamling, udvælgelse, deling og profilering. Dermed rammes flere datadrevne kampagner af databeskyttelsesreglerne.
Behandlingsgrundlag og dokumentation
Virksomheder skal tidligt fastlægge, hvilke oplysninger der er nødvendige, og vælge et lovligt grundlag, typisk samtykke eller legitim interesse. Samtykke skal være frivilligt, specifikt og informeret, mens legitim interesse kræver en konkret og aktuel interesse og en afvejning.
Dokumentationskravet skærpes i takt med indgrebets intensitet, særligt ved profilering til målretning. Anvendes særlige kategorier som helbredsoplysninger, gælder yderligere betingelser og højere beskyttelsesniveau.
Compliance-tiltag
Virksomheder bør planlægge markedsføring detaljeret og sikre sporbar dokumentation af vurderinger og beslutninger. Ud over databeskyttelsesreglerne skal relaterede regelsæt respekteres, herunder markedsføringsloven, CVR-loven, cookie-reglerne og forbrugeraftaleloven.
Følgende tiltag kan styrke efterlevelsen:
- Kortlæg behandlingsaktiviteter og datatyper samt formål og nødvendighed.
- Fastlæg behandlingsgrundlag, registrer samtykker og interesseafvejninger.
- Sørg for klar information, indsigelsesmulighed og let afmelding på alle kanaler.
