Datatilsynets vejledning om direkte markedsføring – hvad er nyt?
Datatilsynet udgav den 30. juni 2023 en ny vejledning om direkte markedsføring. Bliv klædt på til at navigere i det komplekse terræn mellem databeskyttelse og markedsføring nedenfor.
Den 22. november stillede vi skarpt på den nye vejledning, da Pia Kristine Voldmester, partner ved Kromann Reumert, gav deltagerne til webinaret ”Databeskyttelse og direkte markedsføring” vigtige take-aways.
Definition af direkte markedsføring
Datatilsynets vejledning definerer direkte markedsføring som enhver henvendelse til en eller flere bestemte personer i et kommercielt øjemed. Det kan både være via e-mail, annoncer og direkte beskeder på sociale medier. Definitionen omfatter også de forberedende aktiviteter som dataindsamling, profilering og deling med tredjeparter.
Formålet med en ny vejledning er at tydeliggøre de databeskyttelsesretlige regler som er særligt relevante, når organisationer behandler personoplysninger i forbindelse med direkte markedsføring[1]. Pia Voldmester nævnte desuden, at vejledningen blandt andet indeholder nye fortolkninger af en række direkte markedsføringsaktiviteter.
Google Analytics – sagens baggrund
Opmærksomheden har længe været rettet mod de databeskyttelsesretlige problemstillinger, virksomheder skal være opmærksomme på, hvis de bruger Google Analytics. Det startede i 2020 med EU-Domstolens afgørelse i Schrems II-sagen om overførsler af personoplysninger til tredjelande, hvor EU-Domstolen statuerede behovet for supplerende foranstaltninger for at sikre et tilstrækkeligt beskyttelsesniveau.
I kølvandet på Schrems II-sagen indgav NOYB (None of Your Business) 101 klager om virksomheders brug af Google Analytics Universal - herunder også om danske virksomheder - , som efter NOYB’s opfattelse ikke var lovlig. Efter nærmere undersøgelse erklærede Datatilsynet i Danmark i 2022, at statistikværktøjet ikke levede op til reglerne i persondataforordningen (GDPR) uden at virksomhederne implementerede ekstra sikkerhedsforanstaltninger.
Da den nye aftale for dataoverførsler mellem EU og USA, Data Privacy Framework, blev offentliggjort i juli 2023 blev Datatilsynet af forskellige kilder taget til indtægt, at Google Analytics igen kan bruges lovligt.
Hvad du skal vide om Google Analytics
På webinaret kom Pia Voldmester ind på Datatilsynets efterfølgende nyhed om, lovlig brug af Google Analytics ikke kun kræver et overførselsgrundlag. Der er en række andre grundlæggende krav, som virksomhederne skal iagttage:
- Virksomheden skal have hjemmel til at bruge Google Analytics, både for så vidt angår overladelsen og de videregivelser af oplysninger, der måtte ske til Google Analytics.
- Virksomheden skal vurdere dataansvaret og sikre at:
- Der indgås en databehandleraftale, når Google agerer databehandler.
- Der indgås en aftale om fælles dataansvar mellem ens virksomhed og Google.
- Man sikre at kunne overholde de registreredes rettigheder, herunder sin oplysningspligt.
Datatilsynets vejledningen kan findes her: Vejledning om direkte markedsføring (datatilsynet.dk)
Formålet med direkte markedsføring
Datatilsynet præciserer, at direkte markedsføring kan have en lang række delformål, hvorfor formålet ”markedsføring” ofte er for bredt.
Pia Voldmester fortalte på webinaret, at virksomheder er nødt til at adskille deleformålene i deres forberedelsesfase, når de laver direkte markedsføring. Eksempler på delformål kan eksempelvis være tilbud og særlige kampagner via e-mail og SMS, profilering på baggrund af søge- og købshistorik, eller behandling af browsing-historik med henblik på markedsføring af lignende produkter via sociale medier mv. De enkelte markedsføringsaktiviteter skal beskrives klart i både samtykketekster og privatlivspolitikker.
Granulering
Samtykke til forskellige delformål i den direkte markedsføring kræver, at formålene granuleres. Det betyder at brugerne frit skal have mulighed for at vælge, om de vil give samtykke til hvert af de enkelte delformål.
Virksomhederne skal derfor sikre, at der kan gives samtykke til hver enkelt delformål, der er identificeret i de forberedende markedsføringsaktiviteter - hvis samtykke er det rigtige hjemmelsgrundlag/behandlingsgrundlag.
Legitim interesse
På webinaret fortalte Pia, at det nu er fastlagt, at legitim interesse ikke kan benyttes i de situationer, hvor man qua anden lovgivning alligevel skal indhente samtykke, eksempelvis hvor direkte markedsføring til en kunde kræver samtykke. I de situationer er det korrekte hjemmelsgrundlag i GDPR også samtykke.
Vejledningen fra Datatilsynet hjælper derudover virksomhederne godt på vej ved at give eksempler på, om hjemmelsgrundlaget for behandlingen af personoplysninger til direkte markedsføring skal være samtykke eller legitim interesse.
I vejledningen er det gennemgående Datatilsynets holdning, at de meget omfangsrige profiler virksomhederne i dag kan danne af kunder og bruge i deres markedsføringsaktiviteter, kræver samtykke fra kunden. Legitim interesse har derfor et noget snævert anvendelsesområde, der mest rammer den type markedsføring, hvor man kun kender kundens navn, bopæl og alder.
Når virksomhederne bruger legitim interesse som hjemmelsgrundlag bør de også altid huske at dokumentere de legitime interesser (interesseafvejningsreglen), og påvise lovligheden af dem som grundlag for behandling af personoplysninger med henblik på direkte markedsføring.
Hvad er legitim interesse?
Legitim interesse er en juridisk begrundelse for at indhente data, som man normalt ikke må indhente uden samtykke. For eksempel kan personoplysninger behandles uden samtykke, så længe det er juridisk nødvendigt af hensyn til en registrering af en person og dennes oplysninger.
Profilering
Sidst på webinaret kom Pia kort ind på, at virksomheder bør være opmærksomme på de særlige regler der gælder, hvor man analyserer på folks præferencer, også kaldet ’profilering’. De vigtigste takeaways her var, at det korrekte behandlingsgrundlag ved profilering næsten altid vil være samtykke, og at virksomhederne kun må profilere på virksomhedens egne data.
[1] Det nævnes også i vejledningen, at Datatilsynet ikke har kompetence til at vejlede og rådgive om spamforbuddet i markedsføringslovens § 10. Definitionen tjener dermed alene til at forstå, hvornår en aktivitet inden for databeskyttelsesretten er ’direkte markedføring’.
Hvad er profilering?
Profilering indebærer muligheden for at behandle personoplysninger for at forudsige adfærd og præferencer. Det bruges med henblik på at udsende skræddersyet markedsføring. Datatilsynet angiver i vejledningen, at profilering enten kan ske på baggrund af interesseafvejningsreglen eller et samtykke.
Se eller gense webinar
Se eller gense vores webinar om databeskyttelse og direkte markedsføring.
Det kan være en uoverkommelig opgave at navigere mellem de mange forskellige regelsæt, der skal overholdes. Bliv rustet til at forstå og håndtere Google Analytics, databeskyttelse, samtykke, profilering og betingelserne for brug af legitim interesse.