Ny afgørelse

SmartResponses behandling af personoplysninger i forbindelse med udbud af internetkonkurrencer

Dato: 18-10-2022

I forbindelse med afgørelsen af en sag om SmartResponses behandling af personoplysninger har Datatilsynet taget stilling til en række forhold, som har betydning for dataansvarliges behandling af personoplysninger til markedsføring.

På baggrund af en henvendelse fra Forbrugerombudsmanden indledte Datatilsynet en sag om SmartResponse A/S’ behandling af personoplysninger. Sagen vedrørte bl.a. virksomhedens videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer samt spørgeskemaer, som blev brugt i den sammenhæng.

Datatilsynet har i forbindelse med sagens afgørelse taget stilling til en række forhold, som har betydning for dataansvarliges behandling af personoplysninger i markedsføringsøjemed.

Samtykket levede op til reglerne

For at deltage i internetkonkurrencen skulle deltagere samtykke til, at SmartResponse kunne behandle oplysninger om dem, og at SmartResponse kunne videregive oplysningerne til virksomhedens samarbejdspartnere.

Datatilsynet fandt, at samtykket, som SmartResponse indhentede, var i overensstemmelse med databeskyttelsesreglerne.

Samtykkets opbygning gav Datatilsynet anledning til at overveje, om kravet om frivillighed, herunder kravet om granularitet, var opfyldt, idet SmartResponse indsamlede personoplysninger til egen brug samt videregav oplysningerne til brug for samarbejdspartnernes direkte markedsføring.

Videregivelse af spørgeskemaoplysninger forudsatte samtykke

SmartResponse tilbød deltagere i internetkonkurrencen at udfylde et spørgeskema med henblik på at tilpasse markedsføring til den enkeltes personlige behov.

Spørgeskemaoplysningerne blev videregivet til samarbejdspartnerne på baggrund af databeskyttelseslovens § 13, stk. 2.

Foranlediget af bemærkninger fra SmartResponse, fandt Datatilsynet anledning til at vurdere databeskyttelseslovens § 13 overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 2-3.

Datatilsynet fandt, at det efter tilsynets opfattelse er tvivlsomt, om databeskyttelseslovens § 13, ligger inden for det nationale råderum, som databeskyttelsesforordningens artikel 6, stk. 2-3, tillader.

Datatilsynet undlod derfor i sagen at anvende databeskyttelseslovens § 13, og vurderede i stedet videregivelsen efter databeskyttelsesforordningens artikel 6, stk. 1, litra f (interesseafvejningsreglen).

Datatilsynet fandt, at spørgeskemaoplysningerne var for detaljerede til at kunne videregives efter interesseafvejningsreglen, og at oplysningernes videregivelse derfor forudsatte samtykke.

Spørgsmålene om samtykkets gyldighed og behandling af oplysninger i forbindelse med spørgeskemaer er afgjort efter forelæggelse for Datarådet.

Opbevaring af personoplysninger

SmartResponse oplyste i sagen, at virksomheden opbevarer oplysninger for at kunne dokumentere gyldigheden af et indhentet samtykke.

Personoplysninger kan behandles med henblik på at påvise et samtykkes gyldighed, imens behandlingen pågår.

Ophører behandlingen, skal de pågældende oplysninger som udgangspunkt slettes. Oplysningerne kan imidlertid i en begrænset periode fortsat opbevares med henblik på afklaring af, om der måtte foreligge eller opstå en konkret tvist.

SmartResponse havde endvidere oplyst, at når et samtykke blev trukket tilbage, blev deltagerens telefonnummer og e-mailadresse registreret på en nej-tak-liste.

Datatilsynet vurderede, at SmartResponse med nej-tak-listen foretog en unødvendig behandling af personoplysninger, som ikke var i overensstemmelse med princippet om dataminimering og interesseafvejningsreglen. Datatilsynet udtalte derfor alvorlig kritik af virksomhedens behandling af oplysninger på nej-listen og meddelte SmartResponse påbud om at slette oplysningerne.

Endelig havde SmartResponse oplyst, at opbevaringsperioden for oplysningerne var 5 år i henhold til forældelsesfristen i databeskyttelsesloven.

Datatilsynet fandt i den forbindelse, at en opbevaringsperiode på 5 år – fastsat efter forældelsesfristen i databeskyttelsesloven – ikke er overensstemmende med princippet om opbevaringsbegrænsning.

Oplysningspligten

SmartResponse oplyste, at deltagere blev ledt videre til virksomhedens persondatapolitik via et link, som fremgik af internetkonkurrencen, og at deltagerne på den måde fik de påkrævede informationer efter GDPR.

Datatilsynet vurderede imidlertid, at deltagerne ikke modtog tilstrækkelig information om SmartResponses behandling af personoplysninger, idet deltagerne ikke modtog fyldestgørende information om, at SmartResponse fortsat opbevarede personoplysninger efter et samtykke var trukket tilbage.

Vil du vide mere?

Læs afgørelsen her.

Læs mere om reglerne for samtykke i Datatilsynets vejledning om emnet. Du kan også lytte til Datatilsynets podcastepisode "Samtykke - hvornår og hvordan".

Du kan læse mere om reglerne for sletning her og lytte til Datatilsynets podcastepisode "Sletning - hvornår og hvordan" her

Hvis du vil vide mere om oplysningspligten, kan du finde information i Datatilsynets vejledning om de registreredes rettigheder