YouSee A/S’ (TDC A/S’) behandling af personoplysninger

Publiceret 28-03-2019
Afgørelse Private virksomheder

Datatilsynet udtaler alvorlig kritik af, at TDC blandt andet ikke løbende har foretaget sletning af personoplysninger i deres midlertidige database efter gennemførelsen af en specifik markedsføringskampagne.

Journalnummer: 2018-431-0017

Resume

Datatilsynet har af egen drift behandlet en sag, hvor YouSee A/S (herefter TDC) har sendt e-mails til en række borgere med markedsføringsmateriale. TDC har i forbindelse med forberedelsen af en markedsføringskampagne fejlagtigt, ud fra deres midlertidige database, sendt e-mails til en række kunder, tidligere kunder og andre, der på et tidspunkt har givet samtykke til at modtage markedsføringsmateriale pr. e-mail.

Datatilsynet traf den 28. marts 2019 afgørelse i sagen og fandt, at TDC’s behandling af personoplysninger i den omhandlede situation var i strid med databeskyttelsesforordningens artikel 5, stk.1, litra e, og artikel 6, stk. 1, litra a, hvilket Datatilsynet har udtalt alvorlig kritik af.

Det var Datatilsynets vurdering, at TDC ikke løbende har foretaget sletning af personoplysninger i deres midlertidige database efter gennemførelsen af en specifik markedsføringskampagne, og at selskabet således har opbevaret personoplysninger i et længere tidsrum end det, der var nødvendigt til det formål, hvortil oplysningerne blev behandlet, ligesom TDC ikke påviste, at behandling af de pågældende personoplysninger var sket på baggrund af de registreredes samtykke.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor YouSee A/S (herefter TDC) medio november 2018 har sendt e-mails til en række borgere under emnet ”Det er nyt, og det er bedre!”.

Det bemærkes indledningsvis, at Datatilsynet alene kan tage stilling til forhold, der er omfattet af databeskyttelsesforordningen og databeskyttelsesloven. Datatilsynet har således ikke med denne afgørelse taget stilling til spørgsmålet om samtykke til direkte markedsføring, da det henhører under Forbrugerombudsmandens kompetence.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at TDC’s behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens[1] artikel 5, stk. 1, litra e og artikel 6, stk. 1, litra a.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet modtog medio november 2018 en række henvendelser fra borgere, der havde modtaget e-mails fra TDC med henblik på markedsføring.

Som svar på Datatilsynets anmodning af 29. november 2018 er TDC den 20. december 2018 fremkommet med en udtalelse i sagen:

”YouSee har i forbindelse med forberedelsen af en markedsføringskampagne ved en fejl sendt e-mails til en række kunder, tidligere kunder og andre, der på et tidspunkt har givet samtykke til at modtage markedsføringsmateriale pr. e-mail. 

Den udsendte e-mail var tænkt som en intern test, som skulle sendes til ganske få medarbejdere i YouSee. Ved en menneskelig fejl blev e-mailen sendt til de forkerte.

E-mailen havde overskriften ”Er du klar på en endnu bedre forbindelse?” og indeholdt herefter en ufærdig beskrivelse af et bredbåndsprodukt: ”Få fremtidens forbindelse til 0 kr. første måned [ikke angivet] Mbit – helt uden binding [ikke angivet] kr./md. Mindstepris kr. [ikke angivet] …”

Når YouSee udsender e-mails som led i en markedsføringskampagne, anvendes et IT-system (Silverpop). IT-systemet henter e-mailadresser og indhold til e-mailen fra en midlertidig database.

Inden udsendelsen fyldes den midlertidige database med e-mails fra et andet IT-system (Unica), som har adgang til YouSees kundedatabase. 

Når de pågældende e-mails er blevet udsendt, kan indholdet i den midlertidige database slettes.

Ved en fejl er indholdet i den midlertidige database ikke løbende blevet slettet. Dette har fået til følge, at der ikke blot er blevet sendt e-mails ud til nuværende kunder, men også til personer som ikke længere har et kundeforhold til YouSee og personer, som kan have trukket deres samtykke tilbage.

YouSee har efter den fejlagtige udsendelse af e-mails slettet den midlertidige database og sikret, at indholdet i den midlertidige database fremover løbende bliver slettet. Indholdet i den midlertidige database slettes således nu hver syvende dag.”

Endvidere har TDC oplyst følgende:

”Den midlertidige database har indeholdt oplysninger om følgende kategorier af personer:

  • Kunder
  • Tidligere kunder
  • Personer, der har givet samtykke til at modtage markedsføringsmateriale pr. e-mail 

Den midlertidige database har indeholdt følgende kategorier af personoplysninger:

  • E-mail-adresse
  • Andre oplysninger, der knytter sig til et kundeforhold (varierer fra kampagne til kampagne, men kan eksempelvis være kundenummer og telefonnummer)

Indholdet i den midlertidige database udgjorde et udpluk af YouSees kundedatabase. IT-systemet med den midlertidige database blev etableret den 22. maj 2016, og databasen kan derfor have indeholdt personoplysninger tilbage til denne dato.

Indholdet i den midlertidige database behandles alene med det formål at kunne udsende markedsføringsmateriale i en specifik kampagne. Opbevaringen af personoplysninger i den midlertidige database sker med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra a (samtykke).

Opbevaringen af e-mails i den midlertidige database indtil udsendelsen af e-mails i en specifik kampagne har været i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5. Den utilsigtede opbevaring af e-mails i den midlertidige database i tiden efter gennemførelsen af en specifik kampagne kan derimod ikke finde hjemmel i databeskyttelsesforordningens artikel 5, stk. 1, litra e.”

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet har lagt til grund, at TDC siden etableringen af den omhandlede, midlertidige database den 22. maj 2016 ikke har foretaget løbende sletning af personoplysninger, der er blevet behandlet i forbindelse med udsendelsen af markedsføringsmateriale. 

Endvidere har Datatilsynet lagt til grund, at der har været tale om behandling af almindelige, ikke-følsomme oplysninger omfattet af databeskyttelsesforordningens artikel 6.

Endelig har Datatilsynet lagt til grund, at der ved en fejl er sket behandling af personoplysninger under forberedelsen af en markedsføringskampagne, i hvilken forbindelse der blev udsendt en række e-mails i udkastform til de registrerede.

Datatilsynet finder, at TDC’s behandling af personoplysninger i den omhandlede situation har været i strid med databeskyttelsesforordningens artikel 5, stk.1, litra e, og artikel 6, stk. 1, litra a.

Datatilsynet har herved navnlig lagt vægt på det af TDC oplyste, herunder at TDC ikke har foretaget løbende sletning af personoplysninger i den midlertidige database efter gennemførelsen af en specifik markedsføringskampagne, og at selskabet således har opbevaret personoplysninger i et længere tidsrum end det, der var nødvendigt til det formål, hvortil oplysningerne blev behandlet.

Endvidere har Datatilsynet lagt vægt på, at TDC ikke har påvist, at behandling, herunder opbevaring, af de pågældende personoplysninger er sket på baggrund af de registreredes samtykke. 

Datatilsynet finder således, at der er grundlag for at udtale alvorlig kritik af, at TDC’s behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen. 

Datatilsynet har noteret sig, at TDC har slettet den midlertidige database og sikret, at indholdet fremover løbende bliver slettet hver syvende dag.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).