Anvendelse af spy pixels i forbindelse med udsendelse af nyhedsbrev

Dato: 20-12-2022
Afgørelse Private virksomheder Alvorlig kritik Tilsyn / egendriftssag Behandlingsgrundlag Oplysningspligt

Datatilsynet udtaler alvorlig kritik af, at Vækstfonden hverken har indhentet gyldige samtykker eller opfyldt oplysningspligten ved brug af spy pixels i fondens nyhedsbreve.

Journalnummer: 2022-432-0080

Resume

Datatilsynet blev i forbindelse med en konkret klagesag gjort opmærksom på, at Vækstfonden anvendte spy pixels i sine nyhedsbreve. Tilsynet vurderede, at fondens brug af spy pixels måtte vedrøre flere personer end blot den pågældende klager, og tilsynet indledte derfor en nærmere undersøgelse af forholdet af egen drift.

Hvad er spy pixels?

Spy pixels er filer, der placeres i e-mails, og hvor modtageren ved at åbne e-mailen, giver afsenderen mulighed for at indsamle en række oplysninger om modtageren, f.eks. ved at spore modtagerens onlineadfærd.

Ligesom ved behandling af personoplysninger ved hjælp af cookies på hjemmesider, kræver brugen af spy pixels et behandlingsgrundlag efter GDPR.

Vækstfondens brug af spy pixels

Vækstfonden benyttede bl.a. spy pixels til at analysere, hvilke artikler modtagerne klikkede på for derved at kunne optimere tilrettelæggelsen og udsendelsen af nyhedsbrevene.

Vækstfonden erkendte, at de ikke havde indhentet samtykke fra modtagerne af deres nyhedsbrev til behandlingen af oplysninger ved brug af spy pixels, og at de ikke havde iagttaget oplysningspligten vedrørende behandlingen.

På baggrund af dette udtalte Datatilsynet alvorlig kritik.

Vækstfonden har anført, at de har skiftet leverandør til udsendelse af nyhedsbreve, og at fonden har opdateret sin privatlivspolitik. Datatilsynet har i afgørelsen ikke forholdt sig til disse nye forhold.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, som Datatilsynet den 17. februar 2022 af egen drift iværksatte vedrørende Vækstfondens anvendelse af spy pixels i sine nyhedsbreve ved indsamling af oplysninger i forbindelse med udsendelse til vækstfondens abonnenter.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Vækstfondens behandling af personoplysninger ved brug af spy pixels i sine nyhedsbreve er sket i strid med databeskyttelsesforordningens[1] artikel 6, stk. 1, og artikel 13. Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet blev i forbindelse med behandling af en konkret klagesag gjort opmærksom på, at Vækstfonden anvendte spy pixels i sine nyhedsbreve, som blev udsendt til Vækstfondens abonnenter.

Spy pixels er små filer, der placeres i e-mails, og hvor modtageren ved at åbne e-mailen, giver afsenderen mulighed for at indsamle en række oplysninger om modtageren bl.a. ved at spore modtagerens onlineadfærd.

Datatilsynet har på baggrund af klagesagen vurderet, at Vækstfondens benyttelse af spy pixels i sine nyhedsbreve må antages at vedrøre flere registrerede end blot den pågældende klager. Datatilsynet valgte derfor at sætte behandlingen af den konkrete klagesag i bero og i stedet undersøge forholdet nærmere af egen drift.

I forlængelse heraf anmodede Datatilsynet ved brev af 17. februar 2022 Vækstfonden om en udtalelse til brug for behandling af tilsynets egen-driftssag.

Vækstfonden fremkom den 15. marts 2022 med en udtalelse i sagen.

Vækstfonden har oplyst, at fonden er ved at skifte leverandør af nyhedsbrevssystemet. Fra februar 2022 er Vækstfonden ophørt med at sende nyhedsbreve via det hidtil anvendte system.

Vækstfondens besvarelse af Datatilsynets spørgsmål tager således udgangspunkt i fondens hidtidige anvendelse af spy pixels i sine nyhedsbreve.

2.1. Vækstfondens bemærkninger

Vækstfonden har anført, at det alene er almindelige, ikke-følsomme og ikke-fortrolige personoplysninger, der indsamles og behandles. Der indsamles og behandles således hverken følsomme oplysninger, oplysninger om CPR-numre eller oplysninger om strafbare forhold.

Det er videre blevet oplyst til sagen, at Vækstfonden handler som privat aktør for den pågældende behandling.

Vækstfonden har oplyst, at en abonnent ved tilmelding til Vækstfondens nyhedsbreve skal angive en e-mailadresse. Derudover trækker nyhedsbrevssystemet via spy pixels visse ikke-følsomme personoplysninger, som Vækstfonden kan tilgå via rapporter. Disse er angivet som:

  • nyhedsbrevsmodtagernes e-mail,
  • oplysninger om hvilket land nyhedsbrevene åbnes fra,
  • hvor mange der åbner nyhedsbrevet, og hvor mange gange det er sket,
  • hvilke artikler der åbnes,
  • hvordan nyhedsbrevets publikum fordeler sig på køn (set ud fra evt. navn i e-mail),
  • hvilke modtagere, der åbner flere nyhedsbreve og
  • om hvordan de signer up til nyhedsbreve.

Vækstfonden indhenter samtykke fra nyhedsbrevsmodtagerne forud for udsendelse af nyhedsbrevet i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra a, jf. artikel 7.

Vækstfonden har oplyst til Datatilsynet, at de finder, at samtykke er det bedst egnede behandlingsgrundlag til indsamling af personoplysninger, der sker i forbindelse med udsendelse af nyhedsbrevene.

Vækstfonden benytter oplysninger fra spy pixels til at analysere, hvilke artikler nyhedslæserne klikker sig videre til og tilrettelægger på den baggrund fremtidige nyhedsbreve, f.eks. i forhold til hvilken rækkefølge historierne skal præsenteres. Spy pixels benyttes også til at optimere udsendelse af nyhedsbrevene, så de ikke lander i spamfiltre.

I maj 2021 blev Vækstfonden kontaktet af en nyhedsbrevsmodtager, som spurgte til Vækstfondens brug af spy pixels i nyhedsbreve. Vækstfonden igangsatte på baggrund af henvendelsen en undersøgelse af anvendelsen af spy pixels i Vækstfondens nyhedsbreve. På baggrund af denne undersøgelse stoppede Vækstfonden med at anvende spy pixels i nyhedsbreve fra juni 2021. I forlængelse heraf opdaterede fonden sin samtykketekst ved tilmelding til nyhedsbrevene.

På samme tidspunkt blev det planlagt, at der skulle indhentes et nyt samtykke fra eksisterende nyhedsbrevsmodtagere til indhentning af data ved brug af spy pixels. På grund af menneskelige fejl og flere fratrædelser i Vækstfondens kommunikationsafdeling blev det ”nye” samtykke ikke indhentet fra de eksisterende nyhedsbrevsmodtagere, der tidligere havde givet samtykke til modtagelse før for de planlagte ændringer. Vækstfonden blev først opmærksom på, at der ikke var indhentet fornyet samtykke fra nyhedsbrevsmodtagere ved Datatilsynets henvendelse af 17. februar 2022.

Samtidig med at Vækstfonden konstaterede dette, blev fonden yderligere opmærksom på, at spy pixels ved en fejl ikke var blevet deaktiveret, da Vækstfonden udsendte nyhedsbreve i perioden september 2021 – januar 2022.

Datatilsynets undersøgelse af sagen har givet Vækstfonden anledning til:

  • at få sikret at alle nyhedsbrevsmodtagere giver samtykke til brugen af spy pixels,
  • at den nye leverandør af nyhedsbrevssystemet indeholder de fornødne indbyggede funktioner, så det fremadrettet undgås, at der sker menneskelige fejl ved udsendelse af nyhedsmails mv.,
  • at Vækstfondens DPO løbende orienterer om status på fremdrift af de aftalte anbefalinger til Vækstfondens Risikokomité, og
  • at sikre tiltag, for at fejl som den i sagen omhandlede ikke sker igen bl.a. ved at involvere Vækstfondens Risikoafdeling.

Hertil kommer, at Vækstfonden har sat udsendelsen af nyhedsbreve i bero indtil overgangen til en ny leverandør. Vækstfonden planlægger at indhente nyt samtykke fra alle eksisterende nyhedsbrevsmodtagere, lige så snart det nye system er implementeret.

For så vidt angår Vækstfondens oplysningspligt i forbindelse med anvendelsen af spy pixels, valgte Vækstfonden som led i undersøgelsen i maj 2021 at opdatere sin privatlivspolitik, der ligger på Vækstfondens hjemmeside, så den også beskrev brugen af spy pixels. Vækstfonden havde til hensigt at indsætte en henvisning til privatlivspolitikken i samtykketeksten ved tilmelding til fondens nyhedsbrev. I forlængelse af Datatilsynets undersøgelse er Vækstfonden imidlertid blevet opmærksom på, at henvisningen ikke er blevet sat ind.

Vækstfonden har således haft til hensigt at indsætte en ny henvisning til privatlivspolitikken iht. databeskyttelsesforordningens artikel 13, men har måtte erkende, at dette pga. menneskelige fejl ikke er sket til fulde. Samtykketeksten vil blive opdateret med en henvisning til privatlivspolitikken i forbindelse med, at det nye system bliver implementeret.

Afslutningsvis har Vækstfonden anført, at fonden har etableret en sletteprocedure for de oplysninger, der opbevares i Vækstfondens digitale systemer. Derudover er der etableret opfølgningsprocedurer for, om sletning reelt er foretaget i systemerne. Sletteproceduren for Vækstfondens nyhedsbrevssystem har imidlertid ikke omfattet oplysninger fra spy pixels.

Vækstfonden har endvidere slettet al data, der er indsamlet forud for den 30. juni 2021.

3. Begrundelse for Datatilsynets afgørelse

Af databeskyttelsesforordningens artikel 6, stk. 1, litra a, følger det, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af oplysninger om vedkommende.

Det følger endvidere af databeskyttelsesforordningens artikel 13, at i tilfælde hvor personoplysninger er indsamlet hos den registrerede, skal den dataansvarlige på det tidspunkt, hvor oplysningerne indsamles, give den registrerede meddelelse om en række oplysninger.

Datatilsynet lægger herefter til grund, at Vækstfonden ved benyttelse af spy pixels i sine nyhedsbreve har behandlet personoplysninger omhandlet af databeskyttelsesforordningens artikel 6 om sine nyhedsbrevsmodtagere, og at Vækstfonden har behandlet disse oplysninger med henblik på at kunne analysere, hvilke artikler nyhedsmodtagerne klikkede sig videre til og på den baggrund tilrettelægge præsentationen af nyhedsartikler. Spy pixels er endvidere blevet benyttet til at optimere udsendelsen af nyhedsbrevene.

Datatilsynet lægger endvidere til grund, at Vækstfonden ved en fejl i løbet af sommeren 2021 ikke fik indsamlet et fornyet samtykke fra sine nyhedsbrevsmodtagere til behandling af personoplysninger ved anvendelse af spy pixels i sine nyhedsbreve, og at Vækstfonden ved en fejl i perioden september 2021 - januar 2022 ikke havde deaktiveret brugen af spy pixels ved udsendelse af nyhedsbreve.

Vækstfonden har erkendt, at man ikke har indhentet samtykke fra sine nyhedsbrevsmodtagere til den behandling af oplysninger ved brug af spy pixels og ikke har iagttaget sin oplysningspligt efter databeskyttelsesforordningens artikel 13.

Datatilsynet finder derfor samlet grundlag for at udtale alvorlig kritik af, at Vækstfondens behandling af personoplysninger er sket i strid med databeskyttelsesforordningens artikel 6, stk. 1, litra a og artikel 13.

Datatilsynet har endvidere noteret sig, at Vækstfonden er ved at overgå til en ny leverandør til udsendelse af nyhedsmails, og er i gang med at opdatere fondens samtykketekst, så den fremadrettet vil indeholde en henvisning til privatlivspolitikken, hvor der kan læses mere om Vækstfondens behandling af personoplysninger. Datatilsynets afgørelse i nærværende sag har ikke forholdt sig hertil.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).