Datatilsynet har netop offentliggjort en vejledende tekst om opbevaring af personoplysninger med det formål at kunne påvise, at man som dataansvarlig overholder reglerne om samtykke.
Den vejledende tekst kommer i forlængelse af Datatilsynets afgørelse om SmartResponse, der drejer sig om behandling af personoplysninger i forbindelse med udbud af internetkonkurrencer.
I afgørelsen har Datatilsynet taget stilling til opbevaring af samtykker samt flere andre forhold af betydning for dataansvarliges behandling af personoplysninger i forbindelse med markedsføring.
Nedenfor kan du læse mere om de forhold, Datatilsynet har taget stilling til i forbindelse med afgørelsen og den vejledende tekst om opbevaring af personoplysninger til dokumentation.
Opbevaring af personoplysninger
I forbindelse med SmartResponses konkurrencer indsamlede SmartResponse en række personoplysninger om konkurrencedeltagerne, herunder blandt andet telefonnummer og e-mailadresser.
I forbindelse med tilsynet oplyste SmartResponse, at disse personoplysninger ikke blev slettet, hvis en konkurrencedeltager trak sit samtykke tilbage, men at de blev opbevaret på en såkaldt ”nej-tak-liste” i fem år efter samtykket blev trukket tilbage. Dette skete med henblik på at kunne dokumentere tilbagekaldelsen og til sikring af, at der ikke blev sendt markedsføring til den pågældende efter tilbagekaldelsen. Listen blev også benyttet til at blokere for anvendelsen af falske samtykker og videregivelse af samtykker, der var trukket tilbage.
SmartResponse have fastsat opbevaringsperioden til fem år af hensyn til den femårige forældelsesfrist i databeskyttelsesloven, hvorefter overtrædelser af databeskyttelsesretten ikke længere kan straffes, og dokumentation for overholdelse dermed ikke længere er nødvendigt.
Datatilsynet bemærker hertil, at dokumentation for et tilbagekaldt samtykke må opbevares i en begrænset periode med henblik på afklaring af, om der måtte foreligge eller opstå en tvist.
Den legitime interesse, der skal begrunde en fortsat opbevaring af dokumentationen for et samtykke, skal imidlertid repræsentere en reel og nuværende interesse frem for en hypotetisk interesse, hvilket ikke er tilfældet med en ”nej-tak-liste”. Med andre ord er det i strid med persondataforordningen at opbevare personoplysningerne på en ”nej-tak-liste” i fem år, når der ikke konkret er nogen udsigt til tvister, hvor dokumentationen for samtykkerne er nødvendigt og relevant.
Datatilsynet udtalte på den baggrund alvorlig kritik og bemærkede, at denne fortsatte behandling var unødvendig og dermed var i strid med både dataminimeringsprincippet og interesseafvejningsreglen.
Datatilsynet gav endvidere et påbud om, at personoplysningerne på nej-tak-listen skulle slettes.
Derudover udtalte Datatilsynet, at en opbevaringsperiode på fem år var for lang og i strid med princippet om opbevaringsbegrænsning, og at den blotte mulighed for en straffesag ikke berettiger eller nødvendiggør opbevaring i fem år.
I Datatilsynets vejledende tekst om opbevaring af personoplysninger til dokumentation bekræfter og præciserer Datatilsynet, i hvilket omfang dokumentation for samtykker kan behandles efter samtykket er trukket tilbage.
Datatilsynet henviser i sin vejledende tekst til, at den dataansvarlige ikke er forpligtet til at beholde, indhente eller behandle yderligere oplysninger for at kunne identificere den registrerede alene med det formål at overholde persondataforordningen.
Den dataansvarlige skal derfor kun kunne påvise, at den registrerede har givet sit samtykke, så længe behandlingen pågår. Trækker den registrerede sit samtykke tilbage, er den dataansvarlige derfor ikke længere forpligtet at kunne påvise samtykket, hvorfor denne videre behandling heller ikke er nødvendig.
Det klare udgangspunkt er derfor, at personoplysninger behandlet på baggrund af den registreredes samtykke, herunder selve samtykket skal slettes i umiddelbar forlængelse af behandlingsaktivitetens ophør.
Anvendelsen af ”nej-tak-lister”, ”blacklister” eller tilsvarende registre, som i dag er anvendt af mange virksomheder, er med afgørelsen og den vejledende tekst begrænset i et betydeligt omfang, da opbevaringen af dokumentationen af det tilbagekaldte samtykke skal være begrundet af en sandsynlig eller konkret tvist, der nødvendiggør den yderligere opbevaring. Det vil langt hen ad vejen medføre, at der konkret er tale om så få ”problematiske” samtykker, at det reelt ikke er muligt med sådanne lister.
Dette står i kontrast til Forbrugerombudsmandens hidtidige praksis om opbevaring af dokumentation i Forbrugerombudsmandens spamvejledning, hvorefter dokumentation for samtykker må opbevares indtil to år efter, at det har været anvendt sidste gang, og forældelse indtræder i medfør af markedsføringsloven.
Gør din virksomhed brug af en tilsvarende ”nej-tak-liste”, er afgørelsen og vejledningen dermed en oplagt anledning til at få opdateret interne procedurer, så sådanne lister ikke længere benyttes. I forlængelse heraf er det særligt vigtigt generelt at være opmærksom på, at det ikke nødvendigvis er lovligt at opbevare personoplysninger med henvisning til en lovfastsat forældelsesfrist, og at det er vigtigt, at der samtidigt foretages en vurdering af, hvor længe det i det konkrete tilfælde er nødvendigt at opbevare de pågældende personoplysninger.
Oplysningspligt
Det følger direkte af persondataforordningen, at dataansvarlige virksomheder skal give de registrerede en række oplysninger om behandlingen af vedkommendes personoplysninger, før virksomhedens oplysningsforpligtelse er opfyldt.
Oplysningspligten medfører blandt andet, at virksomheden skal give de registrerede oplysninger om, hvor længe virksomheden behandler personoplysningerne, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum.
Dette gælder også, når virksomheden behandler personoplysninger i forbindelse med konkurrencer eller anden markedsføring.
I forbindelse med det konkrete tilsyn konstaterede Datatilsynet, at SmartResponse ikke havde oplyst konkurrencedeltagere om, at deres personoplysninger ikke blev slettet, hvis deres samtykke blev trukket tilbage.
Datatilsynet udtalte kritik for, at SmartResponse ikke have iagttaget sin oplysningspligt tilstrækkeligt.
Lovligt samtykke
I forbindelse med tilsynet vurderede Datatilsynet blandt andet, om det samtykke, SmartResponse indhentede som grundlag for deres behandling og videregivelse af personoplysninger i forbindelse med konkurrencerne, levede op til kravene i persondataforordningen.
Det følger af persondataforordningen, at et samtykke skal være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse fra den registrerede.
Det følger endvidere af Datatilsynets vejledning om samtykke, at et samtykke ikke kan betragtes som frivilligt, hvis ikke den registrerede har haft et reelt frit valg. Det vil sige, at et samtykke skal opdeles (granuleres), så den registrerede kan give samtykke til hvert behandlingsformål særskilt.
I den konkrete sag indhentede SmartResponses i ét samtykke tilladelse til SmartResponses brug af personoplysningerne og videregivelse til 46 samarbejdspartnere med henblik på disse samarbejdspartneres brug af personoplysningerne til direkte markedsføring.
Datatilsynet vurderede dog i den konkrete sag, at samtykket levede op til kravene om frivillighed, selvom dette ikke var granuleret. Datatilsynet bemærker i den forbindelse, at det var afgørende, at formålet med såvel deres egen behandling som videregivelsen var direkte markedsføring. I den forbindelse gør Datatilsynets afgørelse delvist op med praksis fra Forbrugerombudsmanden vedrørende koncernfælles samtykker, da det ifølge Forbrugerombudsmanden hidtil har været nødvendigt, at samtlige omfattede koncernselskaber var navngivne direkte i samtykketeksten.
Afgørelsen åbner derfor op for, at det i visse sammenhænge ikke er nødvendigt med granulering i samtykkeerklæringer, og at granuleringen i højere grad skal styres af formålene med behandlingen. Dette kan bl.a. være relevant ved koncernfælles samtykker, hvor der ved sammenfald i formålet dermed i visse situationer kan gøres brug af et fælles samtykke.
Det er dog stadig vigtigt at være opmærksom på, at der altid skal foretages en konkret vurdering af, om formålene er så ensartede, at ét samtykke er tilstrækkeligt. Det klare udgangspunkt er fortsat, at granulering ofte er nødvendigt for at opnå gyldigt samtykke.
Videregivelse af spørgeskema
Som en del af den konkrete internetkonkurrence, der var genstand for tilsynet, blev deltagere tilbudt at udfylde et spørgeskema med det formål, at markedsføringen kunne tilpasses til den enkeltes behov.
Disse spørgeskemaer blev videregivet til SmartResponses samarbejdspartnere uden samtykke men med hjemmel i den såkaldte interesseafvejningsregel.
Det følger af databeskyttelseslovens § 13, at videregivelse af personoplysninger om en forbruger med henblik på direkte markedsføring kræver samtykke, medmindre der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis betingelserne i interesseafvejningsreglen i persondataforordningens artikel 6, stk. 1 litra f er overholdt. Datatilsynet anfører i afgørelsen, at personoplysninger, der har til formål at inddele forbrugeren i en kundekategori fx kan være om forbrugeren er bilejer eller er interesseret i vin.
Derimod er det ikke tilladt uden samtykke at videregive følsomme oplysninger eller mere detaljerede oplysninger om forbrugeren og dennes forbrugsmønstre, fx at bilen er købt på kredit, eller hvilken type vin forbrugeren køber.
Spørgeskemaet i den konkrete sag indeholdt spørgsmål om mobil- og TV-udbyder, streamingtjenester, tilknytning til realkreditinstitut og timemæssig tilknytning til arbejdsmarkedet.
Datatilsynet vurderede derfor i den konkrete sag, at de personoplysninger, deltagerne skulle afgive, var for detaljerede til, at videregivelsen til SmartResponses samarbejdspartnere kunne ske med hjemmel i interesseafvejningsreglen og derfor krævede samtykke.
Afgørelsen bidrager dermed til at klarlægge rammerne af databeskyttelseslovens § 13 om videregivelse af personoplysninger om forbrugere, og hvornår der er tale om så detaljerede oplysninger, at videregivelse kræver samtykke.
I det pågældende spørgeskema var der ikke mulighed for delvis udfyldning. Selvom spørgeskemaet dermed også omfattede ”generelle kundeoplysninger”, der isoleret set ikke betinger samtykke for videregivelse, vurderede Datatilsynet, at videregivelse af spørgeskemaoplysningerne ”i det hele” krævede samtykke. Det er dermed værd at overveje, om en simpel opdeling i opsætningen kan imødekomme kontaminering af ellers lovlig behandling.
Du finder her Datatilsynets vejledende tekst, og du kan her læse afgørelsen om SmartResponse.
Har du spørgsmål til sagen, behandling af personoplysninger til markedsføring eller persondataret i øvrigt, er du også altid velkommen til at kontakte vores eksperter i CLEMENS’ persondataretlige team.