Journalnummer: 2018-41-0012
Matas A/S (herefter Matas) var blandt de virksomheder, som Datatilsynet i efteråret 2018 udvalgte at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets planlagte tilsyn med Matas var rettet mod den behandling af personoplysninger, der finder sted i forbindelse med Club Matas og tilhørende underklubber (herefter Club Matas), og fokus var på emnerne behandlingsgrundlag og persondatasikkerhed.
1. Afgørelse
Datatilsynet finder – efter at dette er blevet behandlet på et møde i Datarådet – grundlag for at udtale alvorlig kritik af, at Matas’ behandling af personoplysninger om medlemmer af Club Matas ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1.
Datatilsynet finder herudover grundlag for at udtale kritik af, at Matas har behandlet personoplysninger om medlemmer af Club Matas uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.
Nedenfor følger en gennemgang af sagens omstændigheder og en nærmere begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet varslede i august 2018 et tilsynsbesøg hos Matas til afholdelse i oktober 2018. Datatilsynet sendte sammen med varslingsbrevet et spørgeskema og anmodede Matas om at sende fortegnelser over behandlingsaktiviteter, der angår Club Matas.
Matas fremsendte herefter bl.a. det udfyldte spørgeskema samt yderligere bilag i form af kopi af en samtykkeerklæring, e-mails til medlemmerne og en skriftlig risikovurdering dateret 11. september 2018.
Tilsynsbesøget hos Matas blev gennemført den 4. oktober 2018.
Datatilsynet blev efter tilsynsbesøget bekendt med, at Matas efterfølgende har opdateret vilkår og betingelser for Club Matas, og at disse trådte i kraft den 1. september 2020. Matas fremsendte efter anmodning den nye samtykketekst og de opdaterede vilkår og betingelser.
2.1. Matas’ bemærkninger
Det fremgår af Matas’ ”Vilkår & betingelser for Club Matas” af 1. september 2020, at Matas behandler personoplysninger om medlemmer af Club Matas på baggrund af bl.a. databeskyttelsesforordningens artikel 6, stk. 1, litra a[3] og f.
Samtykketeksten som medlemmerne bliver præsenteret for er (klik på billedet for at se det i større størrelse):
Om formålet med behandlingen af personoplysninger om medlemmer på baggrund af samtykke har Matas oplyst, at formålet er at målrette markedsføring over for medlemmerne og tilbyde særlige fordele, herunder mere fordelagtige priser og optjening af points ved køb. Pointoptjening, profilering af medlemmerne og anvendelse af beacons[4] mv. er således alene midler, som ifølge Matas anvendes for at kunne opnå målrettet markedsføring.
Matas har endvidere oplyst, at hvis Matas ikke havde mulighed for at behandle medlemmernes personoplysninger til direkte og målrettet markedsføring over for medlemmerne, ville Club Matas ikke have nogen værdi for Matas. Det er Matas’ opfattelse, at det ikke giver mening at opsplitte behandlingsaktiviteterne ved særskilt indhentelse af medlemmets accept til flere formål. Matas anser kundens samlede accept som den mest hensigtsmæssige og gennemsigtige måde at håndtere medlemsskabet, herunder medlemmernes personoplysninger.
Matas har oplyst, at Club Matas udvikler sig løbende i takt med nye trends for kundeklubber og markedsføring og for at afspejle den teknologiske udvikling. Det er i den forbindelse afgørende for Matas, at den til enhver tid gældende lovgivning, herunder reglerne om databeskyttelse, overholdes. Matas gennemgår derfor løbende samtykketeksten og privatlivspolitikken for vurdere, om der er behov for en opdatering heraf.
Matas har endvidere oplyst, at opdateringen af samtykkeløsningen i september 2020 alene bestod i mindre justeringer, som skyldes, at Club Matas-programmet ikke længere indeholder mulighed for, at Matas kan markedsføre ”partnere”, hvorfor denne del af samtykketeksten er udgået.
Matas har om behandlingssikkerhed oplyst, at virksomheden ikke havde en skriftlig dokumentation af deres risikovurdering i forbindelse med behandlingen af personoplysninger før den 11. september 2018. Matas havde vurderet, at det var vigtigst at prioriterer sikkerheden i praksis, hvorfor selve formuleringen af risikovurderingen ville ske på et senere tidspunkt.
3. Begrundelse for Datatilsynets afgørelse
Matas har i løbet af sagens behandling opdateret samtykkeløsningen. Datatilsynet tager i det nedenstående alene stilling til den opdaterede samtykkeløsning, henset til at der er tale om en mindre justering, og at den oprindelige samtykkeløsning ikke længere er aktuel.
3.1. Behandlingsgrundlag
Af databeskyttelsesforordningens artikel 6, stk. 1, litra a, følger det, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Et samtykke fra den registrerede defineres i databeskyttelsesforordningens artikel 4, nr. 11, som:
”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”
Matas har oplyst, at behandlingen af personoplysninger om medlemmer af Club Matas primært sker på baggrund af samtykke, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra a.
Det skal herefter vurderes, om samtykket opfylder kravene til et gyldigt samtykke.
3.1.1. Frivilligt
Ved at basere en behandling på et samtykke, skal den dataansvarlig give den registrerede et frit valg og kontrol over personoplysninger om dem selv, hvorfor et samtykke skal være frivilligt. Et samtykke vil ikke være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg. Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje medfører, at samtykket er ugyldigt.
En dataansvarlig kan i et vist omfang motivere en registreret til at give samtykke ved, at der er en fordel forbundet med samtykket, så længe det ikke vil have negative konsekvenser, hvis samtykket trækkes tilbage[5]. Den omstændighed, at den registrerede eventuelt kan opnå en fordel ved at tilmelde sig Club Matas, indebærer efter Datatilsynets opfattelse ikke i sig selv, at samtykket ikke kan anses for frivilligt.
Et samtykke kan endvidere ikke anses for frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsformål vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Et samtykke skal derfor granuleres (opdeles)[6].
Hvis en behandling af oplysninger tjener flere formål, skal den dataansvarlige derfor indhente særskilt samtykke for hvert enkelt formål, der skal behandles personoplysninger til på grundlag af den registreredes samtykke. Den dataansvarlige skal således tilbyde den registrerede mulighed for at samtykke til et formål, men undlade at samtykke til andre formål.
Uanset at Matas forretningsmæssige sigte med Club Matas overordnet er markedsføring, er det Datatilsynets opfattelse, at Matas i databeskyttelsesretlig sammenhæng behandler medlemmernes personoplysninger til flere og andre formål end dette ene formål.
Formålet skal endvidere være veldefineret og afgrænset, så der skabes tilstrækkelig klarhed og åbenhed om behandlingen og angivelsen af markedsføring som det eneste formål indebærer efter Datatilsynets opfattelse en upræcis beskrivelse af de formål, der er knyttet til de behandlinger, som Matas foretager ved brug af medlemmernes oplysninger[7].
Udformningen af samtykketeksten som en samlet tekst tilgodeser dermed ikke betingelsen om frivillighed, idet medlemmet ikke kan foretage et reelt og frit valg i forhold til de forskellige behandlingsformål.
Det forhold, at det fremgår af samtykketeksten, at medlemmet efterfølgende kan gå ind og fravælge en eller flere af kontaktformerne vedkommende vil modtage markedsføring ved, ændrer efter Datatilsynets opfattelse ikke ved, at samtykketeksten ikke er tilstrækkelig granuleret.
3.1.2. Specifikt
Et samtykke skal endvidere være specifikt, hvilket betyder, at samtykket skal være konkretiseret på en sådan måde, at det klart og tydeligt fremgår, hvad der meddeles samtykke til. Denne betingelse skal ses i lyset af princippet om formålsbegrænsning[8], hvorfor det skal angives præcist til hvilke specifikke formål behandlingen vil ske. Endvidere skal det angives, hvilke oplysninger der vil blive behandlet til hvert formål.
Det er Datatilsynets opfattelse, at der er flere dele af behandlingsaktiviteterne i Matas’ samtykkeløsning, der ikke er beskrevet tilstrækkelig klart, herunder beskrivelsen af anvendelsen af cookies og beacons, ligesom det er uklart, hvad der menes med ”kontakt med henblik på opdatering af samtykke til samarbejdspartnere og produkter”. Endvidere fremgår oplysninger om, hvilke virksomheder der indgår i Matas-koncernen, ikke[9].
3.1.3. Informeret
Et samtykke skal endvidere være informeret, så den registrerede er klar over, hvad vedkommende samtykker til. De oplysninger, der gives, skal være lettilgængelige og i et klart og enkelt sprog, så den registrerede er være klar over, hvad der samtykkes til.
Oplysningerne om behandlingen af personoplysninger skal – for at gøre oplysningerne letforståelige og lettilgængelige – adskilles fra andre oplysninger, som ikke vedrører behandlingen af personoplysninger, såsom kontraktmæssige bestemmelser eller almindelige betingelser for anvendelse[10]. Endvidere skal den registrerede ikke være nødt til at lede efter oplysninger, idet det skal være klart, hvor og hvordan oplysningerne findes, f. eks. ved at de gives i samtykketeksten eller ved et direkte link el.lign.[11]
Det er Datatilsynets vurdering, at det samtykke, der gives ved Matas’ samtykkeløsning, ikke er tilstrækkeligt informeret, da det ikke er tilstrækkelig tydeligt i teksten, at en række vigtige informationer fremgår af dokumentet ”Vilkår og Betingelser for Club Matas”, som kan tilgås via et link fra samtykketeksten. Endvidere fremgår oplysningerne om Matas’ behandling af personoplysninger i de pågældende vilkår og betingelser sammenblandet med generelle vilkår. Det er altså ikke klart for den registrerede, hvor vedkommende kan finde informationerne og hvilke informationer, der omhandler behandlingen af personoplysninger.
Efter Datatilsynets opfattelse burde al relevant information om behandlingen af personoplysninger vedrørende samtykket fremgå direkte af samtykketeksten. Alternativt burde det klart fremgå af samtykketeksten, hvor den registrerede kan finde den nødvendige information, fx ved at den registrerede kan klikke på et link med følgende tekst: ”Du kan se, hvilke oplysninger vi vil behandle om dig her”. På den måde vil det være tydeligt for den registrerede, hvor vedkommende kan finde informationen. Derudover vil en lagdelt samtykkeløsning være en hensigtsmæssig måde at sikre, at den registrerede får de nødvendige informationer.
3.1.4. Sammenfatning
Det er på baggrund af det ovenstående Datatilsynets vurdering, at Matas’ samtykkeløsning ikke sikrer et tilstrækkeligt frivilligt, specifik eller informeret samtykke. Matas’ samtykkeløsning bestående af en samtykketekst med tilhørende vilkår og betingelser opfylder dermed ikke kravene til et gyldigt samtykke, hvorfor der ikke lovligt kan behandles personoplysninger på baggrund heraf, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11.
Datatilsynet finder dermed grundlag for, at udtale alvorlig kritik af, at Matas har behandlet personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk. 1.
Ved valg af sanktion har Datatilsynet bl.a. særligt lagt vægt på den meget lange sagsbehandlingstid, som skyldes tilsynets forhold.
4. Behandlingssikkerhed
Det er en grundlæggende forudsætning for at træffe passende foranstaltninger til at sikre et tilstrækkeligt beskyttelsesniveau efter databeskyttelsesforordningens artikel 32, at den dataansvarlige forinden har identificeret risiciene for de registrerede, som behandling af oplysninger indebærer, med henblik på at afklare, hvilke specifikke tekniske og organisatoriske foranstaltninger, den dataansvarlige skal træffe for at minimere disse risici.
Efter databeskyttelsesforordningens artikel 5, stk. 2, skal den dataansvarlige i øvrigt kunne påvise bl.a. overholdelsen af princippet om integritet og sikkerhed efter artikel 5, stk. 1, litra f, hvorefter personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger.
Datatilsynet har noteret sig, at Matas først efter tilsynsbesøget var varslet udarbejdede en risikovurdering dateret den 11. september 2018. Det er på den baggrund Datatilsynets vurdering, at Matas forud for Datatilsynets varsel ikke har været i stand til at påvise, at virksomhedens behandling af personoplysninger skete under hensyntagen til de risici, som behandlingen udgjorde for de registreredes rettigheder og frihedsrettigheder.
Datatilsynet har i den forbindelse lagt vægt på Matas’ egne oplysninger om, at virksomheden ikke forud for den 11. september 2018 havde udarbejdet en skriftlig risikovurdering. Datatilsynet har endvidere lagt vægt på at Matas har oplyst, at arbejdet med en risikobaseret tilgang før den 11. september 2018 alene bestod af generelle overvejelser om overholdelsen af de databeskyttelsesretlige regler. Datatilsynet skal i den forbindelse bemærke, at sådanne generelle overvejelser omkring overholdelsen af de databeskyttelsesretlige regler, ikke lever op til kravet om at identificere risici for de registrerede.
På baggrund heraf finder Datatilsynet grundlag for at udtale kritik af, at Matas i hvert fald for perioden før den 11. september 2018 har behandlet personoplysninger uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.
Matas har i forbindelse med tilsynet givet udtryk for, at virksomheden til en vis grad også betragter risici for selve virksomheden og risici for de registrerede som sammenfaldende, fordi manglende sikkerhed ved behandling af medlemmernes oplysninger også får negative konsekvenser for Matas som virksomhed.
Datatilsynet har ikke med nærværende afgørelse vurderet, om Matas reelt havde et utilstrækkeligt sikkerhedsniveau med de tekniske og organisatoriske foranstaltninger, som var etableret på tidspunktet for varsling af tilsynet. Datatilsynet bemærker imidlertid, at en risikovurdering med henblik på at sikre et tilstrækkeligt beskyttelsesniveau efter forordningens artikel 32, alene bør ske under hensynstagen til risikoen for den registrerede og ikke for virksomheden selv.
5. Sammenfatning
På baggrund af det ovenstående finder Datatilsynet grundlag for, at udtale alvorlig kritik af, at Matas har behandlet personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk. 1, da samtykkeløsningen ikke sikrer et tilstrækkeligt frivilligt, specifikt eller informeret samtykke.
Datatilsynet finder herudover grundlag for at udtale kritik af, at Matas i hvert fald for perioden før den 11. september 2018 har behandlet personoplysninger uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Matas har endvidere oplyst, at der behandles oplysninger om medlemmerne på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f, hvis der er mistanke om misbrug af medlemsskabet. Datatilsynet har i forbindelse med tilsynet ikke fundet anledning til nærmere at tage stilling til denne behandling, men har fokuseret tilsynet til den behandlingshjemmel, som langt de fleste behandlingsaktiviteter beror på.
[4] ”Beacons” er små sendere, som vekselvirker med bluetooth-enheder, fx smartphones, i nærheden. Disse sendere bruges bl.a. i butikker til at spore kundens færden i butikken.
[5] Se Det Europæiske Databeskyttelsesråds retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679 (version 1.1., vedtaget den 4. maj 2020), side 14
[6] Se Det Europæiske Databeskyttelsesråds retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679 (version 1.1., vedtaget den 4. maj 2020), side 13
[7] Se også Artikel 29-gruppens udtalelse 3/2013 om formålsbegrænsning (WP 203), s. 16, hvoraf det bl.a. fremgår: ”Af disse grunde opfylder et vagt eller generelt formål som f.eks. ”forbedring af brugeroplevelsen”, ”markedsføringsformål”, ”it-sikkerhedsformål” eller ”fremtidig forskning” – uden mere detaljerede oplysninger – normalt ikke kriteriet om, at samtykket skal være specifikt.”
[8] Princippet om formålsbegrænsning følger af databeskyttelsesforordningens artikel 5, stk. 1, litra b, hvorefter personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde der er uforenelig med disse formål.
[9] Se Det Europæiske Databeskyttelsesråds retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679 (version 1.1., vedtaget den 4. maj 2020), side 14, eksempel 7.
[10] Se Artikel 29-Gruppens retningslinjer for gennemsigtighed i henhold til forordning 2016/679 (WP260rev01) senest revideret og vedtaget den 11. april 2018, side 7
[11] Se Artikel 29-Gruppens retningslinjer for gennemsigtighed i henhold til forordning 2016/679 (WP260rev01) senest revideret og vedtaget den 11. april 2018, side 8