Hvornår må du bruge personoplysninger med henblik på markedsføring efter GDPR?

Du skal altid have et lovligt grundlag for at behandle personoplysninger. Det lovlige grundlag afhænger af typen af personoplysninger og din baggrund for at behandle personoplysningerne.

Er samtykke det eneste rigtige lovlige grundlag?

Har du et samtykke, kan du som udgangspunkt altid behandle personoplysninger til det formål, der er oplyst i samtykket, fx direkte markedsføring. På mødet gennemgik Emil, at samtykke ikke altid er det ”rigtige” lovlige grundlag. Det er fx også muligt at behandle personoplysninger, hvis du har en kontrakt med den, du ønsker at behandle personoplysninger om, eller hvis du har en legitim interesse. Hvilket retligt grundlag, du bør anvende, afhænger også af, hvad du vil bruge personoplysningerne til, fx til statistik, og det har betydning for, hvad der skal stå i din virksomheds privatlivspolitik.

Find Datatilsynets vejledningsside om samtykke her: Samtykke (datatilsynet.dk). Her kan du bl.a. finde Datatilsynets vejledning om samtykke og Tilsynets podcast ”Samtykke – hvornår og hvordan?”.

Læs også Datatilsynets vejledning ”Behandling af personoplysninger om hjemmesidebesøgende” her: Vejledning om behandling af personoplysninger om hjemmesidebesøgende (datatilsynet.dk)

Giver et samtykke til behandling af personoplysninger også samtykke til at sende markedsføring og til at placere cookies?

Emil understregede, at der er tale om tre forskellige samtykker, afhængigt af, om samtykket skal bruges til:

• At behandle personoplysninger (håndhæves af Datatilsynet)
• at sende elektronisk markedsføring efter markedsføringsloven (håndhæves af Forbrugerombudsmanden) eller
• at placere cookies efter cookiebekendtgørelsen (håndhæves af Erhvervsstyrelsen)

Det betyder, at et samtykke til at behandle personoplysninger ikke automatisk giver samtykke til at sende elektronisk markedsføring, fx via e-mail, eller til at placere cookies, fordi de indholdsmæssige krav til, hvornår et samtykke er gyldigt efter de tre lovgivninger, kan variere.

Hvad skal jeg være opmærksom på ved brug af billeder på nettet?

Du skal være opmærksom på, at offentliggørelse af billeder på nettet af personer, som kan genkendes, er behandling af personoplysninger.

Datatilsynet har taget stilling til, hvilke hjemmelsgrundlag der er korrekte at bruge ved offentliggørelse af billeder på internettet.

Læs mere her: Billeder på internettet (datatilsynet.dk).

Husk at slette personoplysninger

Endelig understregede Emil, at du skal sørge for at have styr på din virksomheds og dine underleverandørers processer for sletning af personoplysninger. De største bøder på dette område er givet for manglende sletning af personoplysninger.

Vær opmærksom på, at pligten til at slette personoplysninger efter GDPR i nogle tilfælde skal ses i sammenhæng med pligten til at opbevare personoplysninger efter andre regler, f.eks. i bogføringsloven.

Det er dog vigtigt at huske formålet med, hvorfor du behandler personoplysningerne. Kravet om at gemme oplysninger (herunder personoplysninger) som er relevante for at kunne overholde reglerne i bogføringsloven, giver dig ikke ret til at gemme personoplysninger, du bruger til markedsføring i det samme antal år.