Kritik af Telmore A/S’ behandling af personoplysninger

Dato: 29-04-2024

Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over Telmore A/S’ videregivelse af hans e-mailadresse til Meta Irland. Sagen har været behandlet i Datarådet.

Journalnummer: 2023-31-0007.

Resumé

Datatilsynet har modtaget en klage fra en borger, der har klaget over, at Telmore A/S har videregivet hans personoplysninger til Meta Irland. Klagen indeholdt navnlig fire klagepunkter:

  1. Telmores videregivelse af klagers personoplysninger til Meta Irland
  2. Telmores overførsel af klagers personoplysninger til USA
  3. Telmores mangelfulde iagttagelse af sin oplysningspligt
  4. Telmores mangelfulde svar på klagers anmodning om indsigt

Videregivelsen skete ifølge Telmore med henblik på at undtage klager fra virksomhedens målrettede markedsføring på Facebook. Dette skete ved brug af Facebooks Custom Audience-værktøj, hvilket tillader virksomheder at skræddersy deres annoncer til specifikke brugergrupper. Værktøjet fungerer således, at virksomheden videregiver oplysninger – såsom e-mailadresser – om eksempelvis kunder, som sammenholdes med Meta Irlands egne oplysninger om brugere af Facebook. I sagen havde Telmore vurderet, at Meta Irland handlede som databehandler for virksomheden.

Datatilsynet udtaler kritik

I afgørelsen konkluderede Datatilsynet, at Telmores behandling af klagers personoplysninger ikke kunne ske med hjemmel i interesseafvejningsreglen – Datatilsynet valgte på den baggrund at udtale kritik. Derudover blev Telmores vurdering af rollefordelingen mellem virksomheden og Meta Irland tilsidesat af tilsynet, der fastslog, at der i sagen forelå fælles dataansvar. Datatilsynet fandt på den baggrund, at Telmore ikke havde fastlagt sit ansvar for overholdelse af forpligtelserne i databeskyttelsesforordningen som fælles dataansvarlig med Meta Irland. Datatilsynet valgte dog ikke at udtale kritik heraf, idet den manglende fastlæggelse af ansvar skyldtes, at Datatilsynet undtagelsesvist tilsidesatte Telmores vurdering af rollefordelingen.

Ingen yderligere undersøgelse

Datatilsynet konkluderede ydermere, at det ikke var hensigtsmæssigt at fortsætte undersøgelsen af sagens øvrige klagepunkter. Dette skyldtes, at det er en afgørende forudsætning for at kunne iagttage databeskyttelsesreglerne, at man korrekt identificerer sin egen rolle ved behandling af personoplysninger, herunder rollefordelingen med eventuelle samarbejdspartnere. Idet Datatilsynet tilsidesatte Telmores vurdering af denne grundlæggende forudsætning, ville en fortsat undersøgelse ikke give klager korrekte informationer om, hvordan oplysningerne blev behandlet. Datatilsynet lagde endvidere vægt på, at Telmore ikke længere delte klagers e-mailadresse med Meta Irland.

Datatilsynet indskærpede overfor Telmore, at såfremt virksomheden fortsat forventer at benytte Meta Irlands Custom Audience-værktøj, skal virksomheden sikre sig, at der foreligger en såkaldt ordning om fælles dataansvar, der fastlægger parternes respektive ansvar for overholdelsen af forpligtelserne i GDPR.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager den 27. august 2021 har klaget til tilsynet over, at (i) Telmore A/S har videregivet hans personoplysninger til Meta Platforms Ireland Ltd., tidligere Facebook Ireland Ltd (”Meta Ireland”), at (ii) hans personoplysninger er blevet overført til USA, at (iii) Telmore ikke har informeret ham om videregivelsen og overførslen, og at (iv) Telmore ikke har svaret fyldestgørende på hans anmodning om indsigt.

1. Afgørelse

Efter en gennemgang af sagen – og efter at sagen har været forelagt Datarådet – finder Datatilsynet, at der er grundlag for at udtale kritik af, at Telmores videregivelse af klagers e-mailadresse til Meta Ireland i markedsføringsøjemed ikke er sket i overensstemmelse med databeskyttelsesforordningens[1] artikel 6, stk. 1.

Endvidere finder Datatilsynet, at Telmore ikke har fastlagt sit ansvar for overholdelsen af forpligtelserne i databeskyttelsesforordningen i overensstemmelse med forordningens artikel 26, stk. 1.

Henset til de konkrete omstændigheder i sagen, hvor Telmores mangelfulde iagttagelse af databeskyttelsesforordningens artikel 26 skyldes, at Datatilsynet tilsidesætter Telmores oprindelige vurdering af rollefordelingen mellem virksomheden og Meta Ireland, finder tilsynet, at der ikke er grundlag for at udtale kritik af Telmore i anledning af dette.

Af samme årsag finder Datatilsynet, at det ikke er hensigtsmæssigt at fortsætte undersøgelsen af Telmores iagttagelse af reglerne om oplysningspligt, indsigtsret og om overførsel af personoplysninger til tredjelande.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager den 15. januar 2021 anmodede om indsigt i sine personoplysninger ved Telmore. Telmore imødekom klagers anmodning om indsigt den 15. februar 2021 og henviste i den forbindelse også til Telmores persondatameddelelse.

Klager rettede den 12. august 2021 på ny henvendelse til Telmore, idet han specifikt ønskede indsigt i Telmores brug af prædiktive modeller og data relateret til Facebook, herunder overførsel af data til Facebook.

Telmore besvarede klagers nye anmodning den 27. august 2021.

2.1. Klagers bemærkninger

Klager har overordnet anført, at Telmore har videregivet hans personoplysninger til Meta Ireland, hvorefter hans personoplysninger er blevet overført til USA. Derudover har klager anført, at han ikke har modtaget information om videregivelsen og overførslen, og at Telmore ikke har svaret fyldestgørende på hans anmodning om indsigt.

Klager har indledningsvis anført, at Telmore som minimum bør anses som fælles dataansvarlig for videregivelsen af hans oplysninger. Klager har herunder henvist til EU-Domstolens dom Fashion ID[2]. Klager har anført, at Telmore bestemmer formålet med behandlingen, og med hvilke hjælpemidler behandlingen sker. Klager har endvidere anført, at Telmore ikke har nævnt, at oplysninger overføres uden for EU/EØS, og at virksomheden ikke tilstrækkeligt har redegjort for, hvordan de sikrer de fornødne garantier, hvorfor virksomheden ikke lever op til forpligtelsen i forordningens artikel 26, stk. 2.

Med hensyn til Telmores hjemmel til videregivelse af personoplysningerne har klager anført, at den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder går forud for Telmores interesse i at videregive oplysningerne. Klager har endvidere anført, at det må forventes, at de oplysninger, man giver for at have noget så nødvendigt og essentielt som et mobilabonnement, ikke indebærer, at personoplysningerne også videregives til diverse andre parter til andre formål end det strengt nødvendige. Klager har i den forbindelse henvist til præambelbetragtning nr. 47 til databeskyttelsesforordningen, hvoraf det bl.a. fremgår, at ”den registreredes interesser og grundlæggende rettigheder kan navnlig gå forud for den dataansvarliges interesser, hvis personoplysninger behandles under omstændigheder, hvor registrerede ikke med rimelighed forventer viderebehandling”.

Herudover har klager bemærket, at det kun er i visse tilfælde, hvor behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse. Klager har endelig bemærket, at det har været til Telmores fordel, ikke klagers, at personoplysningerne er blevet videregivet.

Klager har yderligere anført, at Telmore har overført personoplysninger til et tredjeland, da Meta Ireland behandler oplysningerne i USA. Klager har hertil bemærket, at USA ikke er et sikkert tredjeland, idet Schrems II-dommen kendte den tidligere Privacy Shield-ordning ugyldigt.

Klager har om Telmores iagttagelse af oplysningspligten anført, at klager ikke har kunnet læse det, som er påkrævet efter forordningens artikel 13, stk. 1, litra e og f, samt stk. 2, ud fra de informationer, som klager har modtaget. Klager har endvidere angivet, at der ikke blev gjort opmærksom på, at denne behandling skete, efter hans første henvendelse.

Endelig har klager for så vidt angår hans anmodning om indsigt anført, at Telmore ikke i forbindelse med hans anmodning har oplyst ham om, at hans personoplysninger blev overført til et tredjeland, selvom det er blevet eksplicit forespurgt.

2.2. Telmores bemærkninger

Telmore har overordnet anført, at virksomheden har overladt klagers e-mailadresse til Meta Ireland, som er Telmores databehandler, med det formål at undtage klager fra Telmores annoncering på Facebook. Dette er sket via en hashkryptering, som til forskel fra almindelig kryptering er en en-vejs-funktion. Hashet data kan dermed ikke genskabes ved at låse det op med en nøgle, som man kan med krypteret data.

Telmore har endvidere anført, at virksomheden har behandlet klagers e-mailadresse med hjemmel i interesseafvejningsreglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f, da både kunder og Telmore har en vægtig interesse i, at kunder ikke udsættes for unødige reklamebudskaber.

Endvidere har Telmore anført, at Meta Ireland har hjemsted i EU, hvorfor der ikke er tale om en overførsel af personoplysninger til et tredjeland. Der kan ifølge Telmore ske en overførsel af personoplysninger fra Meta Ireland til Meta Platforms Inc. i USA, men virksomheden har ikke nærmere specificeret, hvornår dette er eller kan være tilfældet. I et sådant tilfælde er overførselsgrundlaget ifølge Telmore EU-Kommissionens standardkontrakter.                                                                                

Telmore har vedrørende oplysningspligten anført, at Telmore har oplyst klager om behandlingen vedrørende målrettet annoncering på sociale medier via deres persondatameddelelse. Telmore har i den forbindelse henvist til følgende uddrag i persondatameddelelsen: 

Trin 3: Jeg bruger

Trin 3: ”Jeg bruger” dækker over fire områder:

  • Jeg bruger, der handler om den behandling af de oplysninger der opstår, når du bruger et produkt eller en service.
  • Jeg betaler, der handler om at betale for brugen af produktet eller servicen (dannelse af regninger).
  • Jeg har et problem, der handler om at give dig support, hvis du oplever problemer med produktet eller servicen.
  • Jeg deler, der handler om enhver handling, der involverer sociale medier, fx Facebook.

(…)

Jeg deler

(…)

Vi bruger også sociale medier til at målrette annoncering til dig. De oplysninger, vi normalt anvender til dette formål, er din mailadresse, de Telmore-produkter eller -services du har, f.eks. dit forbrug af musik via Telmores services samt brugeridentifikatorer i forbindelse med din brug af vores digitale kommunikationskanaler (…) I andre supporttilfælde sker behandlingen på baggrund af en interesseafvejning, hvor vi afvejer vores interesse i at behandle dine personoplysninger mod hensynet til beskyttelsen af dit privatliv. En lignende interesseafvejning er grundlag for vores målrettede annoncering via sociale medier”. (Telmores fremhævning)

Det fremgår heraf, at Telmore indsamler klagers oplysninger via de produkter eller services, som klager har, og brugeridentifikatorer i forbindelse med klagers brug af Telmores kommunikationskanaler. Det fremgår endvidere, at formålet hermed er at målrette markedsføring.

Endelig har Telmore for så vidt angår virksomhedens håndtering af klagers indsigtsanmodning anført, at Telmore har levet op til databeskyttelsesforordningens artikel 15.

I den forbindelse har Telmore oplyst, at virksomheden modtog klagers første indsigtsanmodning den 15. januar 2021 og imødekom anmodningen den 15. februar 2021. I sin besvarelse af 15. februar 2021 henviste Telmore standardmæssigt til virksomhedens persondatameddelelse og oplyste bl.a. om berigtigelse, begrænsning, sletning, indsigelse og klageadgang.

Telmore modtog herefter en ny anmodning fra klager den 12. august 2021, som Telmore besvarede den 27. august 2021. I besvarelsen af 27. august 2021 oplyste Telmore bl.a., at Telmore delte klagers e-mail med Meta Ireland med hjemmel i interesseafvejningsreglen, og at Telmore havde foretaget en fornyet afvejning, jf. forordningens artikel 21, stk. 1, hvorefter klagers e-mailadresse ikke længere ville blive delt med Meta Ireland.

3. Begrundelse for Datatilsynets afgørelse

3.1. Rollefordeling

Datatilsynet lægger indledningsvis til grund, at Telmore har videregivet klagers e-mailadresse til Meta Ireland med det formål at undtage klager fra Telmores målrettede markedsføring på Facebook.

Datatilsynet forstår, at det er sket ved brug af Facebooks Custom Audience-værktøj, som gør det muligt for Telmore at konfigurere sin markedsføring på Facebook, således at bestemte registrerede brugere på Facebook ikke modtager målrettet annoncering for Telmore. Det sker ved, at Telmore videregiver identifikationsoplysninger (f.eks. e-mailadresse) til Meta Ireland, som herefter sammenholdes med Meta Irelands egne oplysninger over registrerede brugere.

Telmore har anført, at virksomheden er den dataansvarlige, og at oplysningerne er blevet overladt til Meta Ireland som databehandler for Telmore.

Af Det Europæiske Databeskyttelsesråds (”EDPB”) retningslinjer 8/2020 om målretning mod brugere af sociale medier fremgår følgende om ”listebaseret målretning”[3]:

”Målretning kan også omfatte data, som den registrerede har afgivet til afsenderen, som derefter anvender de indsamlede data til at foretage målretning mod den registrerede på sociale medier. "Listebaseret" målretning forekommer f.eks., når en afsender uploader allerede eksisterende lister over personoplysninger (såsom e-mailadresser eller telefonnumre), så udbyderen af det sociale medie kan matche personoplysningerne mod oplysninger på platformen. I dette tilfælde sammenligner udbyderen af det sociale medie de data, der uploades af afsenderen, med brugerdata, som udbyderen allerede er i besiddelse af, og alle brugere, der matcher, føjes til eller udelukkes fra målgruppen (dvs. den "klynge" af personer, som reklamen vil blive vist for på den sociale medieplatform). Udbyderen af det sociale medie kan også give afsenderen mulighed for at "kontrollere" listen, inden den færdiggøres, hvilket betyder, at en vis behandling finder sted, selv inden målgruppen er blevet oprettet.

[Afsenderen fungerer] som dataansvarlig, fordi den fastlægger formålet med og hjælpemidlerne til behandlingen ved aktivt at indsamle, behandle og videregive personoplysninger om de pågældende personer til udbyderen af det sociale medie med henblik på reklame. Udbyderen af det sociale medie fungerer på sin side som dataansvarlig, fordi den har besluttet at anvende personoplysninger, der er indhentet fra brugeren af det sociale medie (dvs. den e-mailadresse, brugeren oplyste, da vedkommende oprettede sin konto), til at sætte afsenderen i stand til at vise reklamer for en målgruppe bestående af bestemte personer.

Der er tale om fælles dataansvar i forbindelse med de behandlingsaktiviteter, som udbyderen af det sociale medie og afsenderen i fællesskab fastlægger formålene med og hjælpemidlerne til, i dette tilfælde at uploade entydige identifikatorer vedrørende den tilsigtede målgruppe, matchning, udvælgelse af målretningskriterier og efterfølgende visning af annoncen samt enhver rapportering vedrørende målretningskampagnen [68].

[Fodnote 68] […] Ved at uploade listen over e-mailadresser og fastsætte yderligere målretningskriterier definerer afsenderen de kriterier, i henhold til hvilke målretningen finder sted, og udpeger de kategorier af personer, hvis personoplysninger der skal gøres brug af. Udbyderen af det sociale medie træffer ligeledes afgørelse om, hvis personoplysninger der skal behandles, ved at tillade, hvilke kategorier af oplysninger der skal behandles, hvilke målretningskriterier der skal tilbydes, og hvem der skal have adgang til (hvilke typer af) personoplysninger, der behandles i forbindelse med en bestemt målretningskampagne. Det fælles formål, der ligger til grund for disse behandlingsaktiviteter, ligner det formål, der er angivet i eksempel 1, nemlig visning af en specifik reklame til en gruppe personer (i dette tilfælde brugere af sociale medier), som udgør målgruppen.”

Det er Datatilsynets vurdering, at Telmore og Meta Ireland begge fastlægger formålet med og hjælpemidlerne til den skete behandling af klagers e-mailadresse.

Formålet med behandlingen af oplysningerne er, at klager ikke modtager målrettet annoncering fra Telmore på Facebook. Det sker ved, at Telmore giver mulighed for, at Meta Ireland kan sammenholde sine egne registrerede oplysninger med klagers e-mailadresse, som Telmore stiller til rådighed. Det sker for at sikre, at Telmores kunder ikke udsættes for ”unødige reklamebudskaber”. Det bidrager samtidig til en effektivisering af annonceringen på Facebook for Meta Irelands vedkommende, idet brugere af Facebook derved i højere grad præsenteres for reklamer, der er individuelt relevante for den enkelte bruger.

Derudover beslutter Telmore og Meta Ireland i fællesskab hjælpemidlerne til behandlingen af oplysningerne. Mens Meta Ireland leverer den tekniske infrastruktur, hvor behandlingen reelt sker, er det Telmore, som ved brug af de indstillinger Meta Ireland stiller til rådighed, der fastlægger de præcise kriterier for, hvordan den omhandlede e-mailadresse skal behandles – i dette tilfælde for at sikre, at klager ikke modtager målrettet markedsføring fra Telmore på Facebook.[4]

Samlet set finder Datatilsynet derfor grundlag for at tilsidesætte Telmores vurdering af, at Meta Ireland behandler personoplysninger på vegne af og efter instruks fra Telmore som databehandler.

Det er Datatilsynets vurdering, at Telmore og Meta Ireland er fælles dataansvarlige for videregivelsen og indsamlingen af klagers e-mail, matchningen af den omhandlede identifikator (e-mailadresse), udvælgelsen af målretningskriterier og den efterfølgende undladelse af visning af markedsføring fra Telmore over for klager.

3.2. Behandlingsgrundlag

Telmore har anført, at videregivelsen og behandlingen af klagers e-mailadresse er sket på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra f, idet virksomheden har henvist til sin legitime interesse i, at kunder ikke udsættes for unødige reklamebudskaber. Klager har heroverfor henvist til, at oplysninger, som han har afgivet som led i etablering af et mobilabonnement, ikke med rimelighed kan forventes delt med tredjeparter.

Databeskyttelsesforordningens artikel 6, stk. 1, litra f, indeholder tre kumulative betingelser for, at behandling af personoplysninger er lovlig. For det første skal den dataansvarlige identificere en legitim interesse. For det andet skal den givne behandling af personoplysninger være nødvendig for at forfølge interessen. For det tredje skal det sikres, at den registreredes interesser eller grundlæggende rettigheder ikke overstiger den forfulgte legitime interesse.

Det fremgår af forordningens præambelbetragtning nr. 47, at behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse.

Datatilsynet finder, at der ikke er grundlag for at tilsidesætte Telmores vurdering af, at virksomheden har en legitim interesse i at tilrettelægge sin markedsføring på bedst mulig måde, og at behandlingen og videregivelsen af klagers e-mailadresse i det skete tilfælde har været nødvendig for at forfølge denne interesse ved navnlig at sikre, at klager ikke modtog markedsføring fra virksomheden på Facebook.

Spørgsmålet er derfor navnlig, i hvilket omfang afvejningen af Telmores legitime interesse over for klagers interesse i ikke at være genstand for den pågældende behandling fører til, at behandlingen ikke kunne ske i medfør af forordningens artikel 6, stk. 1, litra f.

Af Datatilsynets vejledning om direkte markedsføring, s. 12, fremgår bl.a. følgende:

”Når du har identificeret de registreredes interesser og grundlæggende rettigheder, som er i spil, skal du skal afveje din legitime interesse i at foretage direkte eller indirekte markedsføring over for de registreredes interesser og rettigheder.

Der er tale om en helhedsvurdering, hvor du bl.a. skal overveje:

  1. Styrken eller intensiteten af den legitime interesse,
  2. konsekvenserne for de registrerede ved, at du behandler deres oplysninger,
  3. hvad de registrerede med rimelighed kan forvente i situationen,
  4. den registreredes status, f.eks. barn, ældre eller anden sårbar person,
  5. karakteren af personoplysningerne,
  6. måden, hvorpå oplysningerne behandles, og
  7. om du har etableret ekstra privatlivsfremmende foranstaltninger, f.eks. pseudonymiseret oplysningerne.”

Endvidere fremgår følgende af EDPB’s retningslinjer om målretning mod brugere af sociale medier[5]:

”[Afsenderen kan] måske påberåbe sig legitime interesser som begrundelse for behandlingen, bl.a. under henvisning til, at a) [den registrerede] var informeret om, at hans e-mailadresse via sociale medier kunne blive anvendt til reklame for tjenester, der er knyttet til den, han allerede benytter sig af, b) annoncen vedrører tjenesteydelser svarende til dem, [den registrerede] allerede benytter som kunde, og c) [den registrerede] fik mulighed for at gøre indsigelse forud for behandlingen på det tidspunkt, hvor banken indsamlede personoplysningerne. Databeskyttelsesrådet ønsker imidlertid at præcisere, at opfyldelsen af oplysningsforpligtelserne i henhold til artikel 13 og 14 i GDPR og den interesseafvejning, der skal foretages i henhold til artikel 6, stk. 1, litra f), i GDPR, er to forskellige sæt forpligtelser. Den blotte opfyldelse af oplysningsforpligtelser i henhold til artikel 13 og 14 i GDPR er derfor ikke en gennemsigtighedsforanstaltning, der skal tages i betragtning ved interesseafvejningen i henhold til artikel 6, stk. 1, litra f), i GDPR.”

Telmore har anført, at virksomheden på sin hjemmeside oplyser om, at virksomheden bl.a. deler kunders e-mailadresser med udbydere af sociale medier med henblik på direkte markedsføring, og at dette sker under henvisning til virksomhedens legitime interesse i at målrette annoncer via sociale medier. Telmore har endvidere anført, at virksomheden aktivt henviste til sin privatlivspolitik i virksomhedens svar til klager af 15. februar 2021, hvor virksomheden besvarede klagers indsigtsanmodning.

Telmore har endvidere konkret for så vidt angår klagers e-mailadresse anført, at oplysningerne blev videregivet under henvisning til virksomhedens vægtige legitime interesse i, at kunder ikke udsættes for unødige reklamebudskaber.

Klager har anført, at han ikke, i forbindelse med, at han oprettede sig som kunde hos Telmore, blev informeret om, at oplysninger om hans e-mailadresse ville blive videregivet til Meta Ireland.

Datatilsynet lægger på baggrund af sagens oplysninger til grund, at Telmore på sin hjemmeside som led i sin generelle privatlivsmeddelelse oplyser om, at virksomheden deler kunders e-mailadresser med udbydere af sociale medier med henblik på direkte markedsføring. Virksomheden har imidlertid ikke særskilt informeret klager om, f.eks. som led i kundeoprettelsen eller lignende, at hans e-mailadresse vil blive videregivet til tredjeparter.

For at den registrerede kan siges at have en rimelig forventning om, at vedkommendes oplysninger bruges til direkte markedsføring – hvilket i denne situation ville kunne føre til at afvejningen af de modstående interesser faldt ud til virksomhedens fordel – er det efter Datatilsynets opfattelse en forudsætning, at virksomheden tager yderligere skridt til at informere den registrerede om den omhandlede behandling af personoplysninger. Det kan f.eks. være som led i bestilling af en vare eller oprettelsen af en kundeprofil. På samme tidspunkt skal den registrerede oplyses om retten til at gøre indsigelse mod behandlingen. Det er efter Datatilsynets opfattelse ikke tilstrækkeligt for en virksomhed alene at henvise til, at de nødvendige informationer fremgår af virksomhedens generelle privatlivspolitik eller tilsvarende.

I tråd med Det Europæiske Databeskyttelsesråds retningslinjer er der efter Datatilsynets opfattelse forskel på alene at iagttage sin oplysningspligt efter databeskyttelsesforordningens artikel 13, og at træffe eventuelle yderligere privatlivsfremmende foranstaltninger for at sikre, at interesseafvejningen efter forordningens artikel 6, stk. 1, litra f, falder ud til virksomhedens fordel.

Det er Datatilsynets opfattelse, at den registrerede generelt har en rimelig forventning om, at personoplysninger, der afgives som led i et kundeforhold, ikke videregives til andre dataansvarlige til brug for direkte markedsføring, herunder til udbydere af sociale medier.

Det betyder ikke, at en virksomhed er forpligtet til at indhente den registreredes samtykke. Behandlingen af de omhandlede oplysninger kan ske på baggrund af en interesseafvejning. Det forudsætter imidlertid, at virksomheden træffer yderligere foranstaltninger for at sikre, at den registrerede bliver særskilt opmærksom på, at oplysningerne vil blive brugt til direkte markedsføring, at oplysningerne til brug for direkte markedsføring videregives til udbydere af sociale medier, hvilke oplysninger der er tale om, og at den registrerede altid har mulighed for at gøre indsigelse mod den pågældende behandling.

Efter en samlet vurdering finder Datatilsynet, at videregivelse og behandling af klagers e-mailadresse ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Det er Datatilsynets vurdering, at Telmore har forfulgt en legitim og nødvendig interesse i at foretage direkte markedsføring og en legitim interesse i, at virksomhedens kunder ikke udsættes for unødige reklamebudskaber.

Heroverfor står hensynet til klager, idet behandling af personoplysninger har en indvirkning på den registrerede. Denne indvirkning, der kan være både positiv og negativ, kan også omfatte rene følelsesmæssige indvirkninger, som f.eks. irritation, frygt og angst, der kan opstå, hvis den registrerede mister kontrollen over sine personoplysninger.

Datatilsynet har foretaget en konkret afvejning af de angivne (modsatrettede) interesser og finder på den baggrund, at klagers interesse i, at vedkommendes e-mailadresse ikke blev videregivet og behandlet, vejer tungere end Telmores legitime interesse i gennemføre de ovennævnte markedsføringsaktiviteter. Datatilsynet har i den forbindelse navnlig lagt vægt på, at klager i en situation som den omhandlede må antages at have en berettiget forventning om, at oplysninger, der er afgivet som led i etablering af et kundeforhold, som udgangspunkt ikke videregives til tredjeparter i markedsføringsøjemed. Endvidere har Datatilsynet lagt vægt på, at Telmore ikke ses at have implementeret yderligere foranstaltninger for at sikre bl.a. øget transparens som kunne føre til, at interesseafvejningen faldt ud til fordel for virksomheden.

Datatilsynet har endelig noteret sig, at Telmore i forbindelse med klagers indsigelse mod behandlingen er ophørt med at dele klagers e-mailadresse med Meta Ireland.

3.3. Øvrige klagepunkter

Klager har foruden ovenstående klaget over, at (ii) hans personoplysninger er blevet overført til USA, at (iii) Telmore ikke har informeret ham om videregivelsen og overførslen, og at (iv) Telmore ikke har svaret fyldestgørende på hans anmodning om indsigt.

Det er en afgørende forudsætning for at kunne iagttage databeskyttelsesreglerne, at man identificerer og vurderer ens egen rolle ved behandling af personoplysninger korrekt. Det gælder også rollefordelingen med eventuelle samarbejdspartnere. Det omfatter også reglerne om oplysningspligt efter forordningens artikel 13, reglerne om indsigtsret efter artikel 15, samt reglerne om overførsel af personoplysninger til tredjelande efter kapitel V.

Som det fremgår af afsnit 3.1. ovenfor finder Datatilsynet, at der i sagen er grundlag for undtagelsesvis at tilsidesætte Telmores vurdering af, at Meta Ireland behandler personoplysninger på vegne af og efter instruks fra Telmore som databehandler.

Det er Datatilsynets vurdering, at Telmore og Meta Ireland er fælles dataansvarlige for videregivelsen og indsamlingen af klagers e-mail, matchningen af den omhandlede identifikator, udvælgelsen af målretningskriterier og den efterfølgende undladelse af visning af markedsføring fra Telmore over for klager.

Det fremgår af databeskyttelsesforordningens artikel 57, stk. 1, litra f, at Datatilsynet skal behandle klager, der indgives af en registreret, og, for så vidt det er hensigtsmæssigt, undersøge genstanden for klagen.

På baggrund af, at Datatilsynet tilsidesætter Telmores vurdering af rollefordelingen mellem virksomheden og Meta Ireland, finder tilsynet, at det ikke er hensigtsmæssigt at fortsætte undersøgelsen af Telmores iagttagelse af reglerne om oplysningspligt, indsigtsret og om overførsel af personoplysninger til tredjelande.

Når Datatilsynet har besluttet at indstille undersøgelsen af disse forhold, skyldes det, at tilsynet har foretaget en vurdering af, hvad der potentielt vil kunne opnås ved en fortsat undersøgelse af sagen, herunder i hvilket omfang det konkret vil kunne hjælpe klager, eller om en fortsat undersøgelse af sagen generelt vil kunne være egnet til at højne niveauet for databeskyttelse.

Datatilsynet har i den forbindelse særligt lagt vægt på, at den grundlæggende forudsætning for en korrekt iagttagelse af disse regler, navnlig rollefordelingen mellem Telmore og Meta Ireland, er blevet tilsidesat. En fortsat undersøgelse af disse forhold vil derfor ikke konkret være egnet til at hjælpe klager, f.eks. med at opnå korrekte informationer om, hvordan oplysningerne behandles. Datatilsynet har endvidere lagt vægt på, at Telmore ikke længere deler klagers e-mailadresse med Meta Ireland, og at en fortsat undersøgelse af disse forhold derfor heller ikke er egnet til at højne niveauet for databeskyttelse.

Hvis Telmore fortsat forventer at benytte det omhandlede værktøj fra Meta Ireland til at behandle personoplysninger, f.eks. til at foretage målrettet markedsføring, indskærper Datatilsynet dog, at Telmore skal sikre sig, at der foreligger en ordning om fælles dataansvar, jf. forordningens artikel 26, som på en gennemsigtig måde fastlægger parternes respektive ansvar for overholdelsen af forpligtelserne i databeskyttelsesforordningen. Det omfatter bl.a. reglerne om oplysningspligt, reglerne om indsigtsret, samt reglerne om overførsel af personoplysninger til tredjelande.

For så vidt angår fælles dataansvarlige og overførsel af personoplysninger til tredjelande kan Datatilsynet i øvrigt henvise til tilsynets afgørelse over for BoligPortal.dk ApS.[6]

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   EU-Domstolens dom af 29. juli 2019 i sagen C-40/17, Fashion ID

[3]   Det Europæiske Databeskyttelsesråds retningslinjer 8/2020 vedrørende målretning mod brugere af sociale medier, s. 20f.

[4]   EU-Domstolens dom af 5. juni 2018 i sagen C-210/16, Wirtschaftsakademie, præmis 36-37.

[5]   Det Europæiske Databeskyttelsesråds retningslinjer 8/2020 vedrørende målretning mod brugere af sociale medier, s. 22.

[6]   Datatilsynets afgørelse af 20. april 2023 over for BoligPortal.dk ApS i sagen med j.nr. 2021-7329-0052: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/apr/alvorlig-kritik-og-paabud-til-boligportal-for-brug-af-facebook-business-tools