Datatilsynet har præciseret rammerne for behandling af personoplysninger i forbindelse med markedsføring med en ny vejledende tekst og en afgørelse om SmartResponse. Hovedbudskabet er, at dokumentation for samtykker som udgangspunkt skal slettes, når behandlingen ophører eller samtykket trækkes tilbage, medmindre der foreligger en konkret og sandsynlig tvist, som nødvendiggør midlertidig opbevaring. Datatilsynet udtalte alvorlig kritik af brugen af en femårig “nej tak”-liste og påbød sletning, idet fortsat opbevaring stred mod dataminimering, opbevaringsbegrænsning og interesseafvejning.
Opbevaring af samtykker og dokumentation
Datatilsynet fastslår, at dataansvarlige kun skal kunne påvise samtykke, så længe den pågældende behandling foregår. Når samtykket er tilbagekaldt, er der ikke længere pligt til at kunne dokumentere samtykket, og fortsat opbevaring er som udgangspunkt unødvendig. En generel henvisning til forældelsesfrister kan ikke i sig selv retfærdiggøre længere opbevaring.
En “nej tak”-liste, der opbevares i flere år for at forhindre markedsføring til personer, der har trukket samtykke tilbage, vil normalt være i strid med GDPR, medmindre der foreligger en konkret, aktuel tvist. Datatilsynet fremhæver, at legitim interesse skal være reel og nærværende – ikke hypotetisk. Der kan efter omstændighederne opbevares snæver dokumentation i en kort periode, når det er nødvendigt for at håndtere en faktisk tvist.
Oplysningspligt og transparens
Reglerne kræver, at den dataansvarlige informerer de registrerede om bl.a. opbevaringsperiode eller kriterierne herfor. I tilsynssagen blev SmartResponse kritiseret for ikke at have oplyst, at personoplysninger ville blive bevaret efter samtykkets tilbagekaldelse.
Virksomheder bør derfor revidere privatlivspolitikker og samtykketekster, så de klart angiver opbevaringsperioder og sletteprocedurer. Samtidig understreger Datatilsynet, at dokumentation ikke må udvides udelukkende for at opfylde efterprøvningskravene.
Samtykke og granulering
Udgangspunktet er, at et samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Ofte kræver dette granulering, så hver behandling og hvert formål kan accepteres særskilt. I den konkrete sag accepterede Datatilsynet dog ét samlet samtykke til både virksomhedens egen markedsføring og videregivelse til samarbejdspartnere, fordi formålet var det samme: direkte markedsføring.
Praksis indikerer dermed, at vurderingen af granulering bør styres af formålenes sammenfald, ikke antallet af modtagere. Dette afviger delvist fra Forbrugerombudsmandens hidtidige linje om navngivning i koncernfælles samtykker, jf. Forbrugerombudsmandens spamvejledning. Det er fortsat en konkret vurdering, om ét samtykke er tilstrækkeligt.
Videregivelse af spørgeskemaoplysninger
Databeskyttelsesloven § 13 tillader som udgangspunkt kun videregivelse af generelle kundeoplysninger til direkte markedsføring uden samtykke, når betingelserne i GDPR art. 6, stk. 1, litra f, er opfyldt. Det omfatter typisk oplysninger til inddeling i brede kategorier. Mere detaljerede eller følsomme oplysninger kræver samtykke.
I sagen indeholdt spørgeskemaet detaljer om fx abonnementer og finansielle forhold. Datatilsynet fandt, at videregivelse “i det hele” krævede samtykke, da skemaet ikke kunne udfyldes delvist. Virksomheder bør derfor teknisk adskille generelle og detaljerede oplysninger for at undgå, at lovlig behandling kontamineres af oplysninger, der forudsætter samtykke.
Datatilsynets materiale kan læses her: vejledende tekst og afgørelsen om SmartResponse. Samlet skærpes kravene til sletning, oplysning og samtykkehåndtering ved markedsføring, og virksomheder bør opdatere procedurer, retentionpolitikker og samtykkeflows i overensstemmelse hermed.
