Vi benytter cookies til at forbedre brugeroplevelsen.Læs mere om cookies

Big data, markedsføring og profilering

Big data

Begrebet "big data" bruges navnlig til at beskrive store datasæt, der (eventuelt) samkøres fra flere forskellige kilder. For mange er det imidlertid også blevet ensbetydende med en særlig forretningsmodel, der indebærer indsamlingen af store datasæt med henblik på at forudse forbrugsmønstre og målrette markedsføring.

"Big data" er ikke i sig selv et databeskyttelsesretligt begreb, og i nogle tilfælde vil anvendelsen af "big data" slet ikke være omfattet af de databeskyttelsesretlige regler, fordi der udelukkende er tale om anonymiserede og aggregerede data, der ikke kan føre til identifikation af enkeltpersoner, og derfor ikke er personoplysninger.

I andre tilfælde vil selve formålet med anvendelsen af "big data" imidlertid forudsætte, at enkeltpersoner kan identificeres, eller også kan der ud fra de store mængder af data ske en genidentificering af individer, for eksempel ved en samkøring af deres geografiske placering med tidspunkter, billeder og adfærd på sociale medier.

Hvis det er muligt at identificere enkeltpersoner på baggrund af de indsamlede datasæt, bliver der behandlet personoplysninger, og databeskyttelsesreglerne skal i så fald overholdes. 

Profilering

Begrebet "profilering" dækker over det tilfælde, hvor indsamlede oplysninger netop anvendes til at lave "profiler" til at forudse for eksempel forbrugsvaner eller fremtidige behov. Profilering er imidlertid også en særlig type behandling af personoplysninger, der udtrykkeligt er defineret i databeskyttelsesforordningen som "behandlinger, der omfatter enhver form for automatisk behandling med henblik på at evaluere bestemte personlige forhold vedrørende en fysisk person".

Profilering er således blandt andet relevant i forbindelse med begrebet "Machine Learning", som anvendes i forbindelse med udviklingen af kunstig intelligens. "Machine Learningdækker generelt over udviklingen af en algortime med anvendelse af eksisterende datasæt - eventuelt "big data" - til at kunne forudse og afdække mønstre.

Markedsføring

Databeskyttelsesreglerne regulerer markedsføring i de tilfælde, hvor personoplysninger anvendes med henblik på at rette direkte henvendelse til en enkeltperson - såkalt "direkte markedsføring".

Big data

Hvis der i et datasæt indgår personoplysninger, er det vigtigt for den dataansvarlige at iagttage den registreredes rettigheder og de grundlæggende principper for databehandling. Det kan for eksempel være princippet om dataminimering, der indebærer at den indsamlede og behandlede data skal begrænses til det, som er nødvendigt i forhold til formålet med behandlingen. Den dataansvarlige skal endvidere sikre sig, at behandlingen er lovlig og gennemsigtig for den registrerede.

Datatilsynet anbefaler, at dataansvarlige, der benytter sig af big data, sikrer sig, at de indsamlede oplysninger så vidt muligt er aggregerede og anonymiserede, så det ikke er muligt at identificere enkeltpersoner.

I de tilfælde, hvor enkeltpersoner kan identificeres, er det afgørende, at den dataansvarlige har en behandlingshjemmel. Det er Datatilsynets opfattelse, at dette først og fremmest bør ske med den registreredes samtykke. Et databeskyttelsesretligt samtykke skal opfylde en række betingelser for at være gyldigt. Samtykket skal blandt andet være specifikt og udtrykkeligt. Man kan ikke indhente generelle samtykker eller indhente "passive" samtykker. Du kan læse mere herom i Datatilsynets vejledning om samtykke.

Hvis det ikke er muligt at få den enkelte registreredes samtykke, indeholder databeskyttelsesreglerne også andre behandlingshjemler, som kan være relevante for anvendelsen af big data, der indeholder personoplysninger. Det vil afhænge af formålet med behandlingen samt typen af oplysninger, hvorvidt det er muligt at anvende den enkelte behandlingshjemmel.

Eftersom det ofte kan være svært for enkeltindivider at gennemskue, hvorfor og hvornår der behandles oplysninger om dem, er det vigtigt at den dataansvarlige iagttager oplysningspligten. Du kan læse mere om dette i Datatilsynets vejledning om den registreredes rettigheder.

Profilering

Profilering omfatter som nævnt enhver behandler personoplysninger med en form for automatisk behandling med henblik på at evaluere personlige forhold. Udover de almindelige databeskyttelsesregler skal den dataansvarlige være særligt opmærksom på to forpligtelser.

For det første er det ulovligt at lave afgørelse eller lignende foranstaltninger, der retsligt eller tilsvarende påvirker den registrerede, på baggrund af en udelukkende automatisk behandling, herunder profilering. Den registrerede skal således altid have mulighed for menneskelig indgriben i disse tilfælde, som kan have reel indflydelse på afgørelsen eller foranstaltningen. Den registrerede skal i den forbindelse også oplyses om logikken bag en automatisk afgørelse.

For det andet skal den dataansvarlige være opmærksom på, at hvis profilering udføres med henblik på direkte markedsføring, har den registrerede en absolut ret til at frasige sig sådan en behandling.

Du kan læse mere om profilering og forbuddet mod automatiske afgørelser baseret på profilering i Datatilsynets vejledning om den registreredes rettigheder.

Markedsføring

Databeskyttelsesforordningen og databeskyttelsesloven indeholder en række særlige regler for markedsføring.

For det første har den registrerede ret til at gøre indsigelse mod behandling af sine personoplysninger med henblik direkte markedsføring. Hvis den registrerede fremsætter en sådan indsigelse, må personoplysningerne ikke længere anvendes til dette formål. Dette gælder også, hvis en dataansvarlig udfører profilering med henblik på markedsføring.

Den dataansvarlig skal uanset om den registrerede gør indsigelse eller ej sikre sig, at den registrerede ikke har frabedt sig henvendelser i markedsføringsøjemed.

For det andet må den dataansvarlige ikke videregive eller behandle personoplysninger om en forbruger til eller på vegne af en anden virksomhed med henblik på direkte markedsføring uden forbrugerens udtrykkelige samtykke efter markedsføringslovens § 10.

Dette forbud gælder ikke, hvis der er tale om "generelle kundeoplysninger", der danner grundlag for inddeling i kundekategorier, og hensynet til den registrerede ikke overstiger den erhvervsdrivendes interesse. Den dataansvarlige skal i dette tilfælde sikre sig, at forbrugeren ikke har frabedt sig henvendelser i markedsføringsøjemed via CPR. Generelle kundeoplysninger omfatter ikke detaljerede oplysninger om den registreredes forbrugsvaner, som for eksempel kundens køb af en bil på kredit eller hvilke varer forbrugeren har købt.

For det tredje må dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for en tredjemand foretager adressering eller udsendelse af meddelelser til disse gruppe, kun behandle følgende oplysninger:

  • Oplysninger om navn, adresse, stilling, erhverv, e-mail-adresse, telefon- og telefaxnummer
  • Oplysninger, der indgår i erhvervsregistre, som i henhold til lov er beregnet til at informere offentligheden
  • Oplysninger, som den registrerede i overensstemmelse med markedsføringslovens § 10 har givet sit samtykke til blive behandlet

Følsomme oplysninger må aldrig indgå i den nævnte behandling.

Markedsføring skal endvidere overholde en række andre regler, der hører uden for databeskyttelsesretten og Datatilsynets kompetence.