Journalnummer: 2020-431-0075
Resume
På baggrund af en henvendelse fra Forbrugerombudsmanden indledte Datatilsynet en sag om SmartResponse A/S’ behandling af personoplysninger. Sagen vedrørte bl.a. virksomhedens videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer samt spørgeskemaer, som blev brugt i den sammenhæng.
Datatilsynet har i forbindelse med sagens afgørelse taget stilling til en række forhold, som har betydning for dataansvarliges behandling af personoplysninger i markedsføringsøjemed.
Samtykket levede op til reglerne
For at deltage i internetkonkurrencen skulle deltagere samtykke til, at SmartResponse kunne behandle oplysninger om dem, og at SmartResponse kunne videregive oplysningerne til virksomhedens samarbejdspartnere.
Datatilsynet fandt, at samtykket, som SmartResponse indhentede, var i overensstemmelse med databeskyttelsesreglerne.
Samtykkets opbygning gav Datatilsynet anledning til at overveje, om kravet om frivillighed, herunder kravet om granularitet, var opfyldt, idet SmartResponse indsamlede personoplysninger til egen brug samt videregav oplysningerne til brug for samarbejdspartnernes direkte markedsføring.
Videregivelse af spørgeskemaoplysninger forudsatte samtykke
SmartResponse tilbød deltagere i internetkonkurrencen at udfylde et spørgeskema med henblik på at tilpasse markedsføring til den enkeltes personlige behov.
Spørgeskemaoplysningerne blev videregivet til samarbejdspartnerne på baggrund af databeskyttelseslovens § 13, stk. 2.
Foranlediget af bemærkninger fra SmartResponse, fandt Datatilsynet anledning til at vurdere databeskyttelseslovens § 13 overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 2-3.
Datatilsynet fandt, at det efter tilsynets opfattelse er tvivlsomt, om databeskyttelseslovens § 13, ligger inden for det nationale råderum, som databeskyttelsesforordningens artikel 6, stk. 2-3, tillader.
Datatilsynet undlod derfor i sagen at anvende databeskyttelseslovens § 13, og vurderede i stedet videregivelsen efter databeskyttelsesforordningens artikel 6, stk. 1, litra f (interesseafvejningsreglen).
Datatilsynet fandt, at spørgeskemaoplysningerne var for detaljerede til at kunne videregives efter interesseafvejningsreglen, og at oplysningernes videregivelse derfor forudsatte samtykke.
Spørgsmålene om samtykkets gyldighed og behandling af oplysninger i forbindelse med spørgeskemaer er afgjort efter forelæggelse for Datarådet.
Opbevaring af personoplysninger
SmartResponse oplyste i sagen, at virksomheden opbevarer oplysninger for at kunne dokumentere gyldigheden af et indhentet samtykke.
Personoplysninger kan behandles med henblik på at påvise et samtykkes gyldighed, imens behandlingen pågår.
Ophører behandlingen, skal de pågældende oplysninger som udgangspunkt slettes. Oplysningerne kan imidlertid i en begrænset periode fortsat opbevares med henblik på afklaring af, om der måtte foreligge eller opstå en konkret tvist.
SmartResponse havde endvidere oplyst, at når et samtykke blev trukket tilbage, blev deltagerens telefonnummer og e-mailadresse registreret på en nej-tak-liste.
Datatilsynet vurderede, at SmartResponse med nej-tak-listen foretog en unødvendig behandling af personoplysninger, som ikke var i overensstemmelse med princippet om dataminimering og interesseafvejningsreglen. Datatilsynet udtalte derfor alvorlig kritik af virksomhedens behandling af oplysninger på nej-listen og meddelte SmartResponse påbud om at slette oplysningerne.
Endelig havde SmartResponse oplyst, at opbevaringsperioden for oplysningerne var 5 år i henhold til forældelsesfristen i databeskyttelsesloven.
Datatilsynet fandt i den forbindelse, at en opbevaringsperiode på 5 år – fastsat efter forældelsesfristen i databeskyttelsesloven – ikke er overensstemmende med princippet om opbevaringsbegrænsning.
Oplysningspligten
SmartResponse oplyste, at deltagere blev ledt videre til virksomhedens persondatapolitik via et link, som fremgik af internetkonkurrencen, og at deltagerne på den måde fik de påkrævede informationer efter GDPR.
Datatilsynet vurderede imidlertid, at deltagerne ikke modtog tilstrækkelig information om SmartResponses behandling af personoplysninger, idet deltagerne ikke modtog fyldestgørende information om, at SmartResponse fortsat opbevarede personoplysninger efter et samtykke var trukket tilbage.
Afgørelse
Datatilsynet vender hermed tilbage i sagen, hvor tilsynet af egen drift har undersøgt SmartResponse A/S’ behandling, herunder videregivelse, af personoplysninger i forbindelse med udbud af internetkonkurrencer og hertil knyttede spørgeskemaer.
Datatilsynet skal – efter at sagens pkt. 3.1. og 3.2. har været behandlet i Datarådet – udtale følgende:
1. Afgørelse og påbud
Efter en gennemgang af sagen finder Datatilsynet, at SmartResponses behandling af personoplysninger på baggrund af registreredes samtykke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6.
Datatilsynet finder imidlertid, at SmartResponses øvrige behandling af personoplysninger, som indsamles via spørgeskemaer, ikke er sket inden for rammerne af databeskyttelsesreglerne.
Det er derudover Datatilsynets vurdering, at SmartResponses opbevaring af personoplysninger med henblik på at kunne dokumentere samtykke er foretaget i overensstemmelse med databeskyttelsesforordningens artikel 6.
Datatilsynet finder imidlertid grundlag for at udtale alvorlig kritik af, at SmartResponses behandling af personoplysninger, som foretages på virksomhedens interne nej-tak-liste, ikke er sket inden for rammerne af databeskyttelsesforordningens artikel 6.
Datatilsynet meddeler endvidere SmartResponse påbud om at slette personoplysninger, som fremgår af SmartResponses interne nej-tak-liste, og som ikke – på baggrund af en sandsynlig eller konkret tvist – nødvendiggør yderligere opbevaring.
Påbuddet meddeles, jf. databeskyttelsesforordningens artikel 58, stk. 2, litra g, og fristen for at efterkommer påbuddet er fire uger fra dags dato.
Datatilsynet gør opmærksom på, at manglende efterlevelse af et af Datatilsynet meddelt påbud kan straffes med bøde eller fængsel indtil 6 måneder, jf. databeskyttelseslovens § 41, stk. 2, nr. 5.
Herudover finder Datatilsynet grundlag for at udtale alvorlig kritik af, at SmartResponses opbevaring af personoplysninger med henblik på dokumentation af samtykke er i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra e.
Endelig finder Datatilsynet grundlag for at udtale kritik af, at SmartResponse ikke i tilstrækkelig grad har iagttaget oplysningspligten efter databeskyttelsesforordningens artikel 13, jf. artikel 12.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet blev efter en henvendelse fra Forbrugerombudsmanden og i forbindelse med en række klagesager opmærksom på SmartResponses behandling af personoplysninger i forbindelse med udbud af internetkonkurrencer.
På den baggrund anmodede Datatilsynet den 24. april 2020 SmartResponse om en udtalelse vedrørende virksomhedens behandling, herunder videregivelse, af personoplysninger i forbindelse med udbud af internetkonkurrencer.
SmartResponse fremkom den 4. juni 2020 med en udtalelse. Efterfølgende har Datatilsynet anmodet om yderligere oplysninger, som SmartResponse har fremsendt henholdsvis 30. juli 2020, 15. september 2021, 11. april 2022, 25. april 2022 og 10. maj 2022.
Af sagens oplysninger fremgår, at SmartResponse behandler personoplysninger i forbindelse med internetkonkurrencer på baggrund af de(n) registreredes samtykke.
Behandling af oplysninger om de(n) registrerede sker til markedsføringsformål, idet registrerede ved deltagelse i internetkonkurrencer samtidig giver samtykke til at modtage direkte markedsføring.
Konkurrencen er opbygget således, at registrerede på konkurrencens første side bliver bedt om at udfylde navn, e-mail, telefonnummer og køn (mand eller kvinde).
Samtidig fremgår følgende information om samtykket:
”Jeg giver samtykke til at modtage markedsføring via telefonopkald, SMS, e-mail og brev fra ClubSmart og SmartResponse A/S, samt konkurrencens 45 partnere. Læs om os, dit samtykke, konkurrencens partnere, deres produkter og kommunikationsformer her. Jeg samtykker desuden til videregivelse af mine personoplysninger mellem ClubSmart, SmartResponse og konkurrencens partnere. Personoplysningerne behandles som beskrevet i vores privatlivspolitik. Personoplysningerne deles med partnerne. Partnernes behandling er beskrevet i deres egne privatlivspolitikker.
Jeg kan til enhver tid framelde mig direkte markedsføring, se mere her
Udfyld dine informationer på denne og næste side for at deltage i konkurrencen.”
Registrerede kan derefter trykke ”NÆSTE” eller læse mere om konkurrencens vilkår, som kan tilgås via et ”embedded” link.
Trykker de(n) registrerede ”NÆSTE”, ledes de(n) pågældende over til konkurrencens side 2, hvor registrerede anmodes om at udfylde adresse- og fødselsdagsoplysninger.
I forbindelse hermed modtager registrerede følgende yderligere information:
”Når du trykker ”Deltag nu”, er du med i konkurrencen.
For at skræddersy markedsføringen, kan du på de næste sider besvare et spørgeskema fra virksomhederne, hvor oplysningerne videregives til virksomheden i overensstemmelse med dit samtykke.
Jeg bekræfter at ovenstående oplysninger er korrekte.”
Registrerede har derefter mulighed for at trykke ”DELTAG NU”.
Når der trykkes ”DELTAG NU”, deltager registrerede i konkurrencen – og afgiver samtidig samtykke til at blive kontaktet i markedsføringsøjemed.
Er der trykket ”DELTAG NU”, ledes registrerede videre til et spørgeskema, hvor de(n) registrerede bedes udfylde en række yderligere oplysninger om sig selv.
De(n) registrerede spørges i den forbindelse til bl.a. mobiludbyder, TV-udbyder, tilknytning til arbejdsmarkedet, eventuelt realkreditinstitut og el-leverandør.
3. Begrundelse for Datatilsynets afgørelse
3.1. SmartResponses behandling af personoplysninger på baggrund af samtykke
3.1.1.
SmartResponse har anført, at SmartResponse i forbindelse med registreredes deltagelse i internetkonkurrencen behandler oplysninger om navn, e-mailadresse, køn, IP-adresse, fødselsdato, telefonnummer og adresse.
Behandlingen foretages med henblik på direkte markedsføring, idet registrerede i forbindelse med deltagelse i konkurrencen samtidig samtykker til at modtage direkte markedsføring fra SmartResponse, ClubSmart og 45 samarbejdspartnere.
Oplysningerne behandles på baggrund af den registreredes samtykke, og behandlingsgrundlaget er derfor databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Oplysninger om navn, e-mailadresse, telefonnummer og adresse videregives til de samarbejdspartnere, som fremgår af samtykket, og dette sker ligeledes på baggrund af de pågældendes samtykke.
Det er SmartResponses vurdering, at det afgivne samtykke er frivilligt, specifikt, informeret og en utvetydig viljestilkendegivelse fra den registrerede, idet:
- SmartResponse kan dokumentere, at der er givet et samtykke.
- SmartResponse vurderer, at oplysningen om samtykke er givet tilstrækkeligt klart.
- SmartResponse har gjort det klart for den registrerede, hvordan samtykke kan trækkes tilbage.
- SmartResponse vurderer, at samtykket er givet frivilligt.
Samtykket er udtryk for en utvetydig viljestilkendegivelse fra den registrerede, da den registrerede aktivt skal udfylde og afkrydse tjekboks som led i afgivelse af samtykke.
Registrerede oplyses endvidere om, at samtykke til enhver tid kan trækkes tilbage.
SmartResponse har i den forbindelse oplyst, at registrerede til enhver tid har mulighed for at tilgå linket til afmelding, som fremgår af enhver konkurrenceside udbudt af SmartResponse. Linket kan tilgås, uanset om konkurrencedeltageren deltager i konkurrencen (på ny) eller ej.
Ud over linket sender SmartResponse en bekræftelsesmail, hvoraf der bl.a. er inkluderet et link til en afmeldingsportal. Endvidere specificeres det i mailen, at tilbagekaldelse af samtykke også kan ske via mail til info@smartresponse.dk eller ved at kontakte de enkelte annoncører (SmartResponses samarbejdspartnere).
3.1.2. Relevante retsregler
Det følger af databeskyttelsesforordningens artikel 6, stk. 1, at behandling kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f gør sig gældende.
Af litra a, fremgår, at behandling af personoplysninger kan foretages, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Betingelserne for et gyldigt samtykke fremgår af databeskyttelsesforordningens artikel 4, nr. 11, og artikel 7, og et gyldigt samtykke forudsætter derfor bl.a., at det er frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse.
Kravet om frivillighed indebærer, at den dataansvarlige skal give den registrerede et frit valg og kontrol over personoplysninger om den pågældende selv. Et samtykke vil ikke være afgivet frivilligt, hvis den registrerede ikke har et reelt frit valg. Dette betyder bl.a., at et samtykke ikke kan anses for frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsformål vedrørende personoplysninger, og den registrerede dermed tvinges til at samtykke til samtlige formål. Et samtykke skal derfor granuleres (opdeles)[1].
Hvis en behandling af personoplysninger tjener flere formål, skal den dataansvarlige derfor indhente særskilt samtykke for hvert enkelt formål, der skal behandles personoplysninger til på grundlag af den registreredes samtykke. Den dataansvarlige skal dermed tilbyde den registrerede mulighed for at samtykke til et formål, men undlade at samtykke til andre formål.
Herudover skal den registrerede efter databeskyttelsesforordningens artikel 7, stk. 3 – inden der gives samtykke – oplyses om retten til at trække samtykke tilbage til enhver tid. Det er i den forbindelse yderligere et gyldighedskrav, at det er lige så let at trække samtykke tilbage som at give det.
3.1.3. Datatilsynets vurdering
SmartResponse har til sagen oplyst, at virksomheden – som udbyder af internetkonkurrencer – indsamler, registrerer og videregiver oplysninger om registrerede, der har deltaget i konkurrencen, på baggrund af de pågældendes samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Datatilsynet finder, at SmartResponses behandling af oplysninger om registrerede er foretaget i overensstemmelse med artikel 6, stk. 1, litra a.
Datatilsynet har lagt vægt på, at samtykket efter tilsynets opfattelse er specifikt og informeret, idet det fremgår af samtykket, hvad formålet med behandlingen er (direkte markedsføring), hvilke oplysninger der behandles på baggrund af samtykket, og hvilke virksomheder der kan modtage og behandle oplysningerne, idet der i samtykketeksten er indsat et direkte link, som nærmere identificerer de 45 samarbejdspartnere.
Samtykket er endvidere udtryk for en utvetydig viljestilkendegivelse, da registrerede skal foretage en aktiv handling for at deltage i konkurrencen – og dermed samtykke til, at oplysninger om dem anvendes ved direkte markedsføring.
Samtykkets opbygning har givet Datatilsynet anledning til at overveje, hvorvidt kravet om frivillighed, herunder kravet om granularitet er opfyldt, idet SmartResponse indsamler registreredes samtykke til både SmartResponses egen brug af oplysningerne samt til SmartResponses videregivelse af oplysningerne til brug for samarbejdspartneres direkte markedsføring.
Der vil som udgangspunkt være tale om forskellige behandlingsformål, hvis en virksomhed – på baggrund af et samtykke – ønsker at behandle oplysninger om sine kunder i markedsføringsøjemed og samtidig ønsker at videregive oplysningerne til andre virksomheder.
Datatilsynet henviser til Det Europæiske Databeskyttelsesråds vejledning om samtykke[2], eksempel 7 om opdeling af samtykke, når der er flere behandlingsformål:
”En detailhandler anmoder i en og samme anmodning om samtykke sine kunder om samtykke til, at deres oplysninger anvendes til at sende dem markedsføringsmateriale pr. e-mail, og til, at deres oplysninger deles med andre virksomheder inden for koncernen. Dette samtykke er ikke granulært, da der ikke er noget særskilt samtykke til de to særskilte formål, og derfor er samtykket ikke gyldigt. […]”
Det er imidlertid Datatilsynets vurdering, at nærværende sag adskiller sig herfra, da der ikke består et tidligere kundeforhold mellem SmartResponse og de(n) registrerede, og idet SmartResponse indsamler, selv anvender og videregiver oplysninger med henblik på markedsføring.
Formålet med behandlingsaktiviteterne, som foretages på baggrund af den registreredes samtykke, er således at indsamle, anvende og videregive oplysninger med henblik på markedsføring, og det er på baggrund heraf Datatilsynets opfattelse, at SmartResponses egen brug af oplysningerne og SmartResponses videregivelse af oplysningerne til brug for markedsføring må anses for et (samlet) formål.
Der kan derfor ikke stilles krav om granulering af samtykket, og samtykket må som følge heraf efter tilsynets opfattelse anses for også at være frivilligt.
Det er herudover Datatilsynets opfattelse, at databeskyttelsesforordningens artikel 7, stk. 3, er opfyldt, da det – henset til at konkurrencedeltageren modtager en bekræftelsesmail, hvoraf forskellige tilbagekaldelsesmuligheder fremgår – er lige så let at tilbagekalde et samtykke, som det er at give det.
Sammenfattende er det Datatilsynets vurdering, at kravene i databeskyttelsesforordningens artikel 4, nr. 11, og artikel 7, stk. 3, er opfyldt, hvorfor SmartResponses indsamling, registrering og videregivelse af personoplysninger i forbindelse med internetkonkurrencen på baggrund af de(n) registrerede samtykke er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Datatilsynet bemærker, at tilsynet ikke har fundet anledning til at inddrage eller i øvrigt forholde sig til databeskyttelseslovens § 13, stk. 1, i forbindelse med behandlingen af pkt. 3.1., idet SmartResponse har oplyst, at den pågældende behandling af personoplysninger baserer sig på samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.
3.2. SmartResponses behandling af personoplysninger via spørgeskemaer
3.2.1.
SmartResponse har anført, at registrerede, ud over deltagelse i internetkonkurrencen, tilbydes at udfylde et spørgeskema.
Spørgeskemaet har til formål at kvalificere markedsføringen til de(n) registreredes personlige behov. Skemaet anvendes ligeledes til at frasortere markedsføringsmateriale, således at registrerede f.eks. ikke får tilbud om husforsikring, hvis den registrerede bor i lejlighed etc.
SmartResponse har oplyst, at det er frivilligt for de(n) registrerede at udfylde spørgeskemaet, og at det således er muligt at deltage i konkurrencen – og samtykke til at modtage markedsføring – uden at udfylde det efterfølgende spørgeskema.
Registrerede kan – efter at have trykket ”DELTAG NU” – således enten lukke internetbrowseren ned eller ”scrolle” forbi spørgeskemaspørgsmålene og trykke ”AFSLUT, uden at det har indflydelse på de(n) pågældendes samtykke – eller deltagelse i konkurrencen i øvrigt.
Spørgeskemaet er dog opbygget på en sådan måde, at spørgeskemaet ikke kan udfyldes delvist. Vælger de(n) registrerede at besvare spørgsmålene, skal alle spørgsmål derfor besvares.
At spørgeskemaet er frivilligt, tydeliggøres efter SmartResponses opfattelse for registrerede ved, at registrerede modtager følgende information på konkurrencens side 2:
”[…]
For at skræddersy markedsføringen, kan du på de næste sider besvare et spørgeskema fra virksomhederne, hvor oplysningerne videregives til virksomheden i overensstemmelse med dit samtykke.
[…]”
Derudover fremgår følgende af konkurrencevilkårene, som registrerede kan tilgå via et ”embedded” link på konkurrencens side 1:
”Hvordan deltager du
Du kan deltage ved at afgive markedsføringssamtykke til SmartResponse og vores samarbejdende virksomheder. I den forbindelse oplyser du samtidig dit navn, e-mail, køn, IP-adresse, telefon, adresse. Herudover kan du også give yderligere oplysninger, såsom dine interesseområder, hvis du ønsker at besvare spørgsmålene på de sider, der følger efter din deltagelse. Dette gør det muligt at skræddersy markedsføringen. Markedsføringssamtykket finder du på vores hjemmeside sammen med selve konkurrencen. Når du afgiver markedsføringssamtykket, deltager du i konkurrencen.”
Vælger de(n) registrerede at besvare det efterfølgende spørgeskema, behandles ikke-følsomme personoplysninger inden for de interesseområder, som spørgsmålene vedrører. Spørgeskemaerne kan f.eks. være om: mobilselskab, el-udbyder og boligtype.
SmartResponse har oplyst, at der tidligere har været spørgsmål om, hvorvidt en registreret var registreret i RKI. Spørgsmålene blev imidlertid fjernet i 2019, og spørgeskemaet angår derfor efter SmartResponses opfattelse alene generelle kundeoplysninger.
SmartResponse har oplyst, at indsamlingen sker med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra f.
Ud over selv at registrere spørgeskemaoplysningerne videregiver SmartResponse spørgeskemaoplysningerne til sine samarbejdspartnere.
Videregivelse af oplysninger, som indsamles i forbindelse med spørgeskemaer, sker på baggrund af databeskyttelseslovens § 13, stk. 2, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f. SmartResponse har i den forbindelse anført, at databeskyttelseslovens § 13, stk. 2, skal fortolkes i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra f, (”interesseafvejningsreglen”), da der ikke ses angivet nogen national adgang til derogation/fravigelse af artikel 6, stk. 1, litra f’s nærmere anvendelse.
For så vidt angår den interesseafvejning, som skal foretages efter artikel 6, stk. 1, litra f, har SmartResponse anført, at videregivelsen alene angår generelle kundeoplysninger, og er nødvendig for, at SmartResponse eller en tredjemand kan forfølge en legitim interesse. SmartResponse har i den forbindelse henvist til præambelbetragtning 47 til databeskyttelsesforordningen, hvoraf det fremgår, at direkte markedsføring kan anses for en legitim interesse.
Endvidere har SmartResponse oplyst, at de registrerede oplyses om videregivelsen, og at de registrerede har givet selvstændigt samtykke til direkte markedsføring i forbindelse med deltagelse i internetkonkurrencen.
SmartResponse har orienteret Datatilsynet om, at virksomheden pr. 1. november 2021 stoppede med at udbyde konkurrencer med tilknyttede spørgeskemaer, og at SmartResponse derfor ikke længere behandler supplerende spørgeskemaoplysninger om registrerede.
3.2.2. Relevante retsregler
Datatilsynet lægger på baggrund af de modtagne oplysninger til grund, at de oplysninger, som SmartResponse indhenter hos de registrerede i forbindelse med spørgeskemaerne, alene er personoplysninger omfattet af databeskyttelsesforordningens artikel 6. Denne bestemmelse er sålydende:
”Artikel 6. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
- Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
- Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
- Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
- Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
- Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
- Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.
Stk. 2. Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.
Stk. 3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
- a) EU-retten, eller
- b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.”
I præambelbetragtning nr. 47 til databeskyttelsesforordningen er anført følgende:
”En dataansvarligs legitime interesser, herunder en dataansvarlig, som personoplysninger kan videregives til, eller en tredjemands legitime interesser kan udgøre et retsgrundlag for behandling, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor under hensyntagen til registreredes rimelige forventninger på grundlag af deres forhold til den dataansvarlige. For eksempel kan der foreligge sådanne legitime interesser, når der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos eller gør tjeneste under den dataansvarlige. I alle tilfælde kræver tilstedeværelsen af en legitim interesse en nøje vurdering, herunder af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysninger med rimelighed kan forvente, at behandling med dette formål kan finde sted. Den registreredes interesser og grundlæggende rettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer viderebehandling. Eftersom det er op til lovgiver ved lov at fastsætte retsgrundlaget for offentlige myndigheders behandling af personoplysninger, bør dette retsgrundlag ikke gælde for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver. Behandling af personoplysninger, der er strengt nødvendig for at forebygge svig, udgør også en legitim interesse for den berørte dataansvarlige. Behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse.”
Af databeskyttelseslovens § 13, stk. 1, fremgår, at en virksomhed ikke må videregive oplysninger om en forbruger til en anden virksomhed til brug for direkte markedsføring eller anvende oplysningerne på vegne af en anden virksomhed i dette øjemed, medmindre forbrugeren har givet sit udtrykkelige samtykke hertil. Videregivelse og anvendelse som nævnt i stk. 1 kan dog ske uden samtykke, hvis der er tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier, og hvis videregivelsen følger den interesseafvejning, som er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, litra f, jf. databeskyttelseslovens § 13, stk. 2.
I de almindelige bemærkninger i det lovforslag (lovforslag nr. L 68 af 25. oktober 2017), hvorved databeskyttelseslovens § 13 blev indført, er bl.a. anført følgende (på s. 139-140):
”2.3.9. Behandling i forbindelse med markedsføring mv.
…
2.3.9.2. Databeskyttelsesforordningen
Det fremgår af databeskyttelsesforordningens artikel 6, stk. 2, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c og e, ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX (artikel 85-91).
Det følger af databeskyttelsesforordningens artikel 6, stk. 3, der synes at fastsætte nærmere betingelser for at anvende artikel 6, stk. 2, at grundlaget for behandling i henhold til stk. 1, litra c og e, skal fremgå af EU-retten eller af medlemsstaternes nationale ret, som den dataansvarlige er underlagt. Databeskyttelsesforordningens artikel 6, stk. 3, skal ses i forlængelse af artikel 6, stk. 2. Artikel 6, stk. 3, er således en uddybning af, hvordan de bestemmelser, som indføres efter artikel 6, stk. 2, hvorefter medlemsstaterne kan opretholde eller indføre specifikke regler, nærmere vil skulle udformes.
Efter databeskyttelsesforordningen er det således muligt at opretholde og indføre mere specifikke bestemmelser for at tilpasse anvendelsen i forbindelse med artikel 6, stk. 1, litra c og e, vedrørende behandling på baggrund af en retlig forpligtelse eller i samfundets interesse.
Endvidere indeholder databeskyttelsesforordningens artikel 21 bl.a. regler om ret til indsigelse, når personoplysninger behandles med henblik på direkte markedsføring.
2.3.9.3. Justitsministeriets overvejelser og lovforslagets udformning
For så vidt angår persondatalovens behandlingsregler vedrørende markedsføring i lovens § 6, stk. 2-4, § 12 og § 36, stk. 2, 1. pkt., er det Justitsministeriets vurdering, at også disse regler kan og bør opretholdes.
Det er Justitsministeriets vurdering, at den registrerede bør have afgørende indflydelse på, i hvilket omfang der behandles personoplysninger om den pågældende med henblik på markedsføring.
Der bør derfor i lovforslaget fastsættes snævre grænser for, i hvilke tilfælde en virksomhed – uden den enkelte forbrugers samtykke – må videregive oplysninger om en forbruger til andre virksomheder til brug for markedsføring, jf. lovforslagets § 13.”
I bemærkningerne til den foreslåede § 13 (lovforslagets s. 183) er anført bl.a.:
”Til § 13
…
Det foreslås i § 13 at videreføre bestemmelserne i persondatalovens § 6, stk. 2-4, og § 12. Endvidere foreslås det at videreføre persondatalovens § 36, stk. 2, 1. pkt., tilpasset databeskyttelsesforordningens ændringer af indsigelsesretten i forhold til markedsføring.
I den foreslåede stk. 1 fastsættes hovedreglen om, at virksomheder ikke må videregive oplysninger om forbrugere til andre virksomheder i markedsføringsøjemed (eller anvende oplysningerne på vegne af andre virksomheder i markedsføringsøjemed), medmindre forbrugeren har givet sit udtrykkelige samtykke til det. Om samtykkekravet henvises til databeskyttelsesforordningens artikel 4, nr. 11 og artikel 7. Derudover skal samtykket indhentes i overensstemmelse med reglerne i markedsføringslovens § 10.
I stk. 2 angives de tilfælde, hvor der gøres undtagelse fra kravet om samtykke i stk. 1. Som det fremgår af bestemmelsen, kan kundeoplysninger kun videregives uden kundens samtykke, hvis to betingelser er opfyldt.
For det første skal der være tale om generelle kundeoplysninger, der danner grundlag for inddeling i kundekategorier.
Er denne betingelse opfyldt, skal videregivelsen for det andet følge af den interesseafvejning, som er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Efter denne bestemmelse kan videregivelse ske, hvis videregivelse er nødvendig for, at »den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.« Med dette supplerende krav sikres det, at videregivelse af generelle kundeoplysninger i markedsføringsøjemed ikke kan ske, hvis interesseafvejningen undtagelsesvis måtte tale herimod. Som eksempel herpå kan nævnes den situation, at en virksomhed har orienteret sine kunder om, at den ikke vil videregive oplysninger om kunderne til andre virksomheder til brug for markedsføring. Hvis virksomheden på trods heraf alligevel skulle beslutte sig for at videregive oplysningerne, vil hensynet til kunderne, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f, efter omstændighederne kunne tale imod, at en sådan videregivelse kan ske uden kundernes forudgående samtykke.
Som eksempler på oplysninger, der herefter vil kunne videregives uden samtykke efter den foreslåede bestemmelse, kan nævnes oplysninger om kundens navn, adresse, køn og alder. Det samme gælder generelle oplysninger om f.eks., at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og småbørnsartikler, til økologiske varer, til vin- og spiritus eller andre generelt afgrænsede varegrupper.
Derimod vil det efter den foreslåede bestemmelse ikke være muligt uden samtykke at videregive oplysninger, som afslører følsomme oplysninger om kunden.
Det vil heller ikke være muligt at videregive mere detaljerede kundeoplysninger eller forbrugsvaner uden kundens samtykke. Der må således f.eks. ikke videregives oplysninger om, hvorvidt kundens bil er købt på kredit og i givet fald oplysninger om vilkårene for kreditten. Der må heller ikke videregives oplysninger om, hvilken mængde vin kunden køber. Det gælder, selv om dette ikke i sig selv afslører, at kunden har et spiritusmisbrug. Der må heller ikke videregives mere detaljerede oplysninger om, hvilken slags vin kunden køber.”
3.2.3. Datatilsynets vurdering
Som anført i pkt. 3.2.1. videregives de personoplysninger, som SmartResponse indsamler og registrerer på baggrund af spørgeskemaerne, til samarbejdspartnere.
Datatilsynet finder på baggrund af de oplysninger, som tilsynet har modtaget fra SmartResponse, at virksomheden ikke ved spørgeskemaerne kan anses for alene at indhente ”generelle kundeoplysninger”.
Flere af oplysningerne indeholder for specifik og detaljeret information om den enkelte konkurrencedeltager til at kunne anses for værende ”generelle”, og disse oplysninger må således efter Datatilsynets opfattelse anses for at have en karakter, så de angår, hvad der må betegnes som mere detaljerede oplysninger om de registrerede. Det skyldes bl.a., at der spørges til konkurrencedeltagerens specifikke mobiludbyder og TV-udbyder, hvilke specifikke streaming-tjenester konkurrencedeltageren benytter, hvilken el-leverandør konkurrencedeltageren har, hvilket realkreditinstitut konkurrencedeltageren er kunde hos, samt hvilken timeantalsmæssig tilknytning konkurrencedeltageren har til arbejdsmarkedet.
Videregivelse af sådanne oplysninger om en forbruger til en anden virksomhed til brug ved direkte markedsføring eller anvendelse af oplysningerne på vegne af en anden virksomhed i dette øjemed, kræver efter databeskyttelseslovens § 13 og forarbejderne hertil samtykke fra den registrerede, jf. herved § 13, stk. 1 sammenholdt med stk. 2.
Datatilsynet er således ikke enig i, at spørgeskemaoplysningerne i det hele har kunnet videregives til samarbejdspartnere på baggrund af databeskyttelseslovens § 13, stk. 2, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f.
SmartResponse har rejst spørgsmål om, hvorvidt den ordning, som følger af databeskyttelseslovens § 13, er forenelig med databeskyttelsesforordningens artikel 6, idet denne bestemmelse efter SmartResponses opfattelse ikke ses at indeholde nogen national adgang til derogation/fravigelse for så vidt angår private virksomheders behandling af personoplysninger med det formål at foretage direkte markedsføring.
Efter nærmere overvejelse som følge af ovennævnte spørgsmål er det efter Datatilsynets opfattelse tvivlsomt, om databeskyttelseslovens § 13, ligger inden for det nationale råderum, som databeskyttelsesforordningens artikel 6, stk. 2-3, tillader.
Det påhviler efter EU-retten Datatilsynet at undlade at anvende nationale lovbestemmelser, i det omfang en anvendelse vil være i strid med umiddelbart anvendelige EU-regler.
Datatilsynet har på denne baggrund overvejet, om en isoleret anvendelse af artikel 6 i det foreliggende tilfælde (også) vil føre til, at der skal foreligge samtykke fra de registrerede, for at SmartResponse kan videregive spørgeskemaoplysningerne til brug for samarbejdspartneres direkte markedsføring.
Det er Datatilsynets opfattelse, at anvendelse af artikel 6 i den foreliggende situation fører til, at SmartResponse skal have samtykke fra de registrerede til videregivelse af spørgeskemaoplysningerne til samarbejdspartnere til brug ved direkte markedsføring.
Datatilsynet finder således ikke, at der – hvis man vurderer videregivelsen uafhængigt af, hvad der følger af databeskyttelseslovens § 13 – vil være hjemmel til videregivelsen i databeskyttelsesforordningens artikel 6, stk. 1, litra f, da spørgeskemaoplysningerne, som konkurrencedeltageren bedes udfylde, er for detaljerede til med henblik på direkte markedsføring at kunne videregives inden for rammerne af forordningens artikel 6, stk. 1, litra f.
Det bemærkes herved, at der efter Datatilsynets opfattelse ikke er holdepunkter, herunder heller ikke i databeskyttelsesforordningens præambelbetragtning 47, for, at det at stille krav om samtykke til videregivelse i den foreliggende sag vil være i strid med databeskyttelsesforordningen.
SmartResponse har orienteret Datatilsynet om, at virksomhedens behandling af spørgeskemaoplysninger pr. 1. november 2021 ophørte, og at SmartResponse derfor ikke længere behandler sådanne spørgeskemaoplysninger om registrerede.
Datatilsynet foretager sig af den grund ikke yderligere i anledning heraf.
3.3. SmartResponses opbevaring af personoplysninger med henblik på dokumentation
3.3.1.
SmartResponse har oplyst, at virksomheden opbevarer personoplysninger til det formål at kunne dokumentere, at der er givet et samtykke, som overholder gældende lovgivning, hvis den registrerede skulle fremsætte klager.
Opbevaringen sker på baggrund af interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f.
SmartResponse opbevarer i den forbindelse oplysninger om afgivelse af samtykket (kontaktoplysninger, IP-adresse og timestamp).
Efter samtykke er trukket tilbage, registrerer SmartResponse telefonnummer og e-mailadresse på registrerede, som har trukket sit samtykke tilbage, på en ”nej tak-liste”.
Formålet med nej-tak-listen er at dokumentere tilbagekaldelse af samtykke, for dermed at undgå efterfølgende anvendelse af et tilbagekaldt samtykke. SmartResponse blokerer derved også for anvendelsen af falske samtykker, og virksomheden undgår efterfølgende videregivelse af oplysninger til samarbejdspartnere, hvor samtykke er tilbagekaldt.
Ønsker en registreret at blive slettet fra listen, vil SmartResponse efterkomme ønsket. SmartResponse er dog af den helt klare opfattelse, at listen i praksis udelukkende er til gavn for den registrerede, da SmartResponse således sikrer, at den registrerede ikke modtager markedsføringsmateriale, og at oplysninger ikke videregives til samarbejdspartnere.
Oplysninger til brug for dokumentation opbevares i 5 år fra afgivelse af samtykke, ligesom oplysninger registreret på nej-tak-listen opbevares i 5 år.
Fristen er fastsat med henblik på at kunne dokumentere overholdelse af databeskyttelsesforordningen, markedsføringsloven og forbrugeraftaleloven ved indhentelse og anvendelse af samtykker til direkte markedsføring, jf. forældelsesfristen for strafansvar i databeskyttelseslovens § 41, stk. 7. Dette er også oplyst de registrerede i persondatapolitikken.
Alle øvrige oplysninger afgivet i spørgeskemaet anonymiseres automatisk 1 år efter afgivelsen, så de angivne svar ikke kan henføres til den registrerede.
3.3.2. Relevante retsregler
De generelle principper for behandling af personoplysninger fremgår af databeskyttelsesforordningens artikel 5.
Det fremgår af artikel 5, stk. 1, litra c, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
Af artikel 5, stk. 1, litra e, fremgår endvidere, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
Det følger af databeskyttelsesforordningens artikel 6, stk. 1, at behandling af personoplysninger kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f, gør sig gældende.
Efter artikel 6, stk. 1, litra a, kan personoplysninger behandles, når den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
Dataansvarlige kan herudover efter artikel 6, stk. 1, litra f, behandle personoplysninger, hvis behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor.
Det følger af forordningens artikel 7, stk. 1, at hvis behandling af personoplysninger er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger. Den dataansvarlige bærer således bevisbyrden for at kunne dokumentere et samtykkes gyldighed.
Registrerede kan i medfør af artikel 7, stk. 3, til enhver tid trække sit samtykke tilbage.
I EDPB’s vejledning 5/2020 følger herom bl.a. følgende:
”104. Databeskyttelsesforordningens artikel 7, stk. 1, beskriver klart den dataansvarliges udtrykkelige forpligtelse til at påvise, at en registreret har givet samtykke. Bevisbyrden ligger hos den dataansvarlige, jf. artikel 7, stk. 1.
- I betragtning 42 hedder det, at: "Hvis behandling er baseret på den registreredes samtykke, bør den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandlingen."
- De dataansvarlige kan frit udvikle metoder til overholdelse af denne bestemmelse, der passer til deres daglige drift. På samme tid bør selve forpligtelsen til at påvise, at den dataansvarlige har opnået gyldigt samtykke, ikke i sig selv føre til yderligere uforholdsmæssigt store mængder databehandlingsarbejde. Det vil sige, at de dataansvarlige bør have data nok til at påvise en forbindelse til behandlingen (for at vise, at der var opnået samtykke), men de bør ikke indsamle flere oplysninger end nødvendigt.
- Det er op til den dataansvarlige at bevise, at der er opnået gyldigt samtykke fra den registrerede. Det fastsættes ikke præcist i databeskyttelsesforordningen, hvordan dette skal gøres. Den dataansvarlige skal dog være i stand til at bevise, at en registreret har givet samtykke i en given sag. Så længe en databehandlingsaktivitet står på, består forpligtelsen til at påvise samtykke. Efter behandlingsaktivitetens ophør bør beviset for samtykke ikke opbevares længere end højst nødvendigt for at overholde en retlig forpligtelse eller for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b) og e).
- Den dataansvarlige kan f.eks. gemme modtagne samtykkeerklæringer, så han kan påvise, hvordan samtykke blev indhentet, da det blev opnået, og det skal være muligt at bevise, hvilke oplysninger den registrerede fik forelagt på tidspunktet for samtykkets afgivelse. Den dataansvarlige skal endvidere kunne påvise, at den registrerede var informeret, og at den dataansvarliges fremgangsmåde opfyldte alle relevante kriterier for et gyldigt samtykke. Rationalet bag denne forpligtelse i databeskyttelsesforordningen er, at de dataansvarlige skal kunne stilles til regnskab for indhentelsen af gyldigt samtykke fra registrerede og for de samtykkemekanismer, de har iværksat. I en onlinesituation kan en dataansvarlig f.eks. gemme oplysninger om den session, hvor samtykket blev givet, sammen med dokumentation for fremgangsmåden til opnåelse af samtykke under sessionen og en kopi af de oplysninger, den registrerede fik forelagt. Det ville ikke være nok blot at henvise til en korrekt konfiguration af det pågældende websted.
[…]
”117. Hvis samtykke trækkes tilbage, er alle databehandlingsaktiviteter, der var baseret på samtykket og fandt sted, inden samtykket blev trukket tilbage – og i overensstemmelse med
databeskyttelsesforordningen – generelt fortsat gyldige, men den dataansvarlige skal indstille de berørte behandlingsaktiviteter. Hvis ikke der er noget andet retsgrundlag, der berettiger behandlingen (f.eks. videre opbevaring) af dataene, bør den dataansvarlige slette dem.
[…]
- De dataansvarlige er forpligtet til at slette oplysninger, der blev behandlet på grundlag af samtykke, når samtykket trækkes tilbage, hvis ikke der er noget andet formål, der berettiger oplysningernes videre opbevaring. Ud over denne situation, som er omfattet af artikel 17, stk. 1, litra b), kan en registreret anmode om at få slettet andre personoplysninger, der behandles ud fra et andet retsgrundlag, f.eks. på baggrund af artikel 6, stk. 1, litra b). De dataansvarlige er forpligtet til at vurdere, hvorvidt fortsat behandling af de pågældende personoplysninger er hensigtsmæssig, også selv om den registrerede ikke har indgivet en anmodning om sletning.
[…].”
3.3.3. Datatilsynets vurdering
3.3.3.1. Opbevaring af personoplysninger
Dataansvarlige skal efter forordningens artikel 7, stk. 1, kunne påvise, at den registrerede har samtykket til behandling af oplysninger om sig selv, mens behandlingen pågår.
Dataansvarlige – herunder SmartResponse – kan derfor behandle personoplysninger med henblik på at kunne dokumentere den registreredes samtykke, mens behandlingen pågår.
Trækker den registrerede sit samtykke tilbage, skal behandlingen, som foretages på baggrund af det pågældende samtykke, ophøre.
De pågældende personoplysninger, som behandles på baggrund af samtykket skal herefter som udgangspunkt slettes, medmindre der er et andet retsgrundlag for behandlingen.
Det er i den forbindelse Datatilsynets opfattelse, at der inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f, i en begrænset periode fortsat kan ske opbevaring af personoplysninger til dokumentation af den registreredes samtykke med henblik på afklaring af, om der måtte foreligge eller opstå en tvist. I de tilfælde, hvor der sandsynligvis vil opstå en tvist, kan oplysningerne opbevares så længe, det er nødvendigt i forhold til afklaring af tvisten.
Den legitime interesse, som skal kunne begrunde yderligere opbevaring efter artikel 6, stk. 1, litra f, skal dog repræsentere en reel og nuværende interesse – og dermed ikke en hypotetisk interesse – for at videre opbevaring af personoplysninger med henblik på at dokumentere de registreredes samtykke kan ske inden for rammerne af forordningens artikel 6, stk. 1, litra f.[3]
Da SmartResponse, som anført ovenfor, skal kunne påvise gyldigheden af de samtykker, der anvendes til behandling af personoplysninger, er det Datatilsynets opfattelse, at det ikke kan anses som nødvendigt at føre en liste over tilbagekaldte samtykker med henblik på at undgå at anvende et tilbagekaldt samtykke til behandling af personoplysninger.
Det er på den baggrund Datatilsynets opfattelse, at SmartResponse med nej-tak-listen foretager en unødvendig behandling, som hverken lever op til forordningens artikel 5, stk. 1, litra c, eller nødvendighedskriteriet i artikel 6, stk. 1, litra f.
Som følge heraf finder Datatilsynet grundlag for at udtale alvorlig kritik af SmartResponses behandling af personoplysninger, som foretages på nej-tak-listen.
Datatilsynet meddeler endvidere SmartResponse påbud om at slette personoplysninger, som fremgår af nej-tak-listen, og som ikke – på baggrund af en sandsynlig eller konkret tvist – nødvendiggør yderligere opbevaring.
Påbuddet meddeles, jf. databeskyttelsesforordningens artikel 58, stk. 2, litra g, og fristen for at efterkomme påbuddet er fire uger fra dags dato.
Datatilsynet gør i den forbindelse opmærksom på, at manglende efterlevelse af et af Datatilsynet meddelt påbud kan straffes med bøde eller fængsel indtil 6 måneder, jf. databeskyttelseslovens § 41, stk. 2, nr. 5.
3.3.3.2. Opbevaringsperioden
Datatilsynet finder, at den fastsatte opbevaringsperiode på 5 år ikke er overensstemmende med princippet om opbevaringsbegrænsning, som fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra e.
Det er Datatilsynets vurdering, at en opbevaringsperiode på 5 år, som er fastsat på baggrund af forældelsesfristen i databeskyttelseslovens § 41, stk. 7, ikke er i overensstemmelse med nødvendighedskravet i forordningens artikel 5, stk. 1, litra e, idet den blotte mulighed for, at en straffesag måtte blive rejst, ikke berettiger eller nødvendiggør, at personoplysninger opbevares i 5 år.
En generel opbevaringsperiode bør fastsættes ud fra en konkret vurdering på baggrund af nødvendighedskravet i forordningens artikel 5, stk. 1, litra e. Denne periode kan, såfremt det i enkelttilfælde er nødvendigt, forlænges, når der eksempelvis foreligger en konkret klagesag, eller hvis et retskrav skal fastlægges, gøres gældende eller forsvares.
Datatilsynet finder derfor grundlag for at udtale alvorlig kritik af SmartResponses opbevaringsperiode på 5 år.
Datatilsynet henstiller til, at SmartResponse foretager en ny vurdering af opbevaringsperiodens længde, hvor der i højere grad tages hensyn til den generelle nødvendighed af opbevaring af de pågældende personoplysninger. Der kan i den forbindelse bl.a. inddrages information om, hvor længe et indsamlet samtykke til direkte markedsføring normalt benyttes samt den tidsmæssige sandsynlighed for, at et samtykke bestrides af de(n)registrerede.
Det bør i den forbindelse endvidere indgå, at klager over telefonopkald mv. må formodes at opstå i relativ nær tidsmæssig tilknytning til den henvendelse, der klages over.
EDPB’s vejledning, som er citeret ovenfor, samt afsnit 3.1 i Datatilsynets vejledning om samtykke kan inddrages i forhold hertil.
3.4. SmartResponses iagttagelse af oplysningspligten
3.4.1.
SmartResponse har anført, at SmartResponse giver de oplysninger, der fremgår af virksomhedens persondatapolitik, der linkes til på første side af konkurrencen, til de registrerede.
SmartResponse har i den forbindelse fremsendt et link til virksomhedens persondatapolitik.
SmartResponse behandler ikke personoplysninger, som ikke indsamles direkte fra de(n) registrerede, og virksomheden giver derfor ikke information efter databeskyttelsesforordningens artikel 14.
3.4.2. Relevante retsregler
Det fremgår af databeskyttelsesforordningens artikel 13, at hvis personoplysninger om en registeret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
- a) identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
- b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
- c) formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen
- d) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
- e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne
- f) hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1,
andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
Ud over de oplysninger, der er omhandlet i stk. 1, skal den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, give den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:
- a) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
- b) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet
- c) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
- d) retten til at indgive en klage til en tilsynsmyndighed
- e) om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger
- f) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Af databeskyttelsesforordningens artikel 12, stk. 1 fremgår det, at den dataansvarlige skal træffe passende foranstaltninger til at give enhver oplysning som omhandlet i bl.a. artikel 13 til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
3.4.3. Datatilsynets vurdering
Datatilsynet bemærker indledningsvis, at tilsynet er enig i SmartResponses vurdering af, at virksomheden indsamler oplysninger hos den registrerede selv, og at SmartResponse derfor er forpligtet til at iagttage databeskyttelsesforordningens artikel 13.
Datatilsynet finder, at SmartResponse ikke i tilstrækkeligt omfang har iagttaget databeskyttelsesforordningens artikel 13, jf. artikel 12, stk. 1.
Datatilsynet har lagt vægt på, at registrerede – som det er påkrævet efter artikel 13, stk. 1, litra c – ikke oplyses om, at SmartResponse med hjemmel i artikel 6, stk. 1, litra f, fortsat opbevarer oplysninger om de(n) registrerede, efter at et samtykke er trukket tilbage.
Registrerede modtager i den forbindelse endvidere ikke tilstrækkelig information om den legitime interesse, SmartResponse forfølger, når SmartResponse – med henblik på at dokumentere et gyldigt samtykke – behandler oplysninger efter forordningens artikel 6, stk. 1, litra f, efter et samtykke er trukket tilbage.
Det medfører, at registrerede ikke i tilstrækkeligt omfang har mulighed for at varetage sine interesser – f.eks. ved at udøve retten til at gøre indsigelse efter artikel 21, stk. 1 – hvilket efter Datatilsynets opfattelse ikke er i overensstemmelse med artikel 13, stk. 1, litra d, jf. artikel 12, stk. 1.
Sammenfattende finder Datatilsynet, at der er grundlag for at udtale kritik af, at SmartResponse ikke i tilstrækkelig grad har iagttaget databeskyttelsesforordningens artikel 13, jf. artikel 12, stk. 1.
Datatilsynet konstaterede efter et besøg på SmartResponses hjemmeside den 9. november 2021, at SmartResponse har ændret sin privatlivspolitik. Datatilsynet har i afgørelsen ikke forholdt sig til denne.
[1] Se Det Europæiske Databeskyttelsesråds retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679 (version 1.1, vedtaget den 4. maj 2020), side 13.
[2] EDPB’s Retningslinjer 5/2020 vedrørende samtykke i henhold til forordning 2016/679, eksempel 7, side 12.
[3] Artikel 29-Gruppens udtalelse 6/2014 om den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF, side 27.