DA
Teknologi

Kritik og påbud af virksomheds databehandling på ”nej tak-liste”

logo
Juranyt
calendar 27. oktober 2022
globus Danmark

Datatilsynet iværksatte en undersøgelse af hvordan en markedsføringsvirksomhed behandlede personoplysninger ved udbud af internetkonkurrencer og tilknyttede spørgeskemaer. Tilsynet mundede ud i flere bemærkninger til behandling af oplysninger i markedsføringsøje med, navnlig i forhold til hvordan oplysningerne blev opbevaret.

Efter en henvendelse fra Forbrugerombudsmanden, besluttede Datatilsynet at indlede et tilsyn af hvordan en markedsføringsvirksomhed videregav personoplysninger. Oplysningerne blev indsamlet ved internetkonkurrencer, som indebar at deltageren skulle udfylde et spørgeskema. Spørgeskemaoplysningerne blev brugt til at lave personlig markedsføring efter deltagerens behov.

Virksomheden opbevarede herefter en række oplysninger for at kunne dokumentere, at der var givet et samtykke til at foretage behandlingen. Oplysningerne omfattede deltagerens kontaktoplysninger, IP-adresse og et timestamp. Når deltageren trak sit samtykke tilbage, blev den oplysning også gemt og opbevaret på en såkaldt ”nej tak-liste”. Grundlaget for at opbevare oplysningerne var virksomhedens legitime interesse.

Oplysningerne om samtykket blev opbevaret i 5 år efter det blev givet eller trukket tilbage. Resten af oplysningerne i spørgeskemaet blev automatisk anonymiseret efter 1 år.

Gemt er ikke glemt

Oplysninger om et samtykkes gyldighed kan som udgangspunkt kun opbevares mens databehandlingen er i gang. Efter det, kan oplysningerne undtagelsesvist opbevares i en begrænset periode, hvis det skal gøres klart, om der er eller kan opstå en tvist. Datatilsynet understregede som konsekvens, at virksomhedens 5-årige opbevaringsperiode var ulovlig.

Virksomhedens 5-årige opbevaringsperiode var fastsat efter forældelsesfristen for brud på databeskyttelsesreglerne. Datatilsynet mente ikke, at den blotte mulighed for, at virksomheden kunne blive mødt af en straffesag nødvendiggjorde en længere opbevaringsperiode end udgangspunktet.

Datatilsynet understregede også, at ”nej tak-listen” klart var overflødig. Virksomheden skal dokumentere at et samtykke er gyldigt. Netop derfor var det også helt overflødigt at føre en liste over hvilke samtykker, der ikke længere var gyldige. Udover alvorlig kritik af listen, fik virksomheden også et påbud om at få slettet indholdet på listen inden for fire uger.

IUNO mener

Krav til opbevaring og sletning kan være svære at finde rundt i. Virksomheder bør på én gang fastsætte nogle generelle retningslinjer for hvornår oplysninger skal slettes, og samtidig foretage en konkret vurdering af, hvornår sletning bør ske.

IUNO anbefaler, at virksomheder især i forhold til opbevaring af oplysninger om samtykke sørger for at notere, om der kan være konkrete grunde til, at der kan opstå et tvist. Hvis der er det, bør oplysningerne om samtykket nemlig opbevares selvom behandlingsaktiviteten er afsluttet, for at virksomheden kan dokumentere at databeskyttelsesreglerne var overholdt.

[Datatilsynets afgørelse i journal nr. 2020-431-0075 af 30. september 2022]

Efter en henvendelse fra Forbrugerombudsmanden, besluttede Datatilsynet at indlede et tilsyn af hvordan en markedsføringsvirksomhed videregav personoplysninger. Oplysningerne blev indsamlet ved internetkonkurrencer, som indebar at deltageren skulle udfylde et spørgeskema. Spørgeskemaoplysningerne blev brugt til at lave personlig markedsføring efter deltagerens behov.

Virksomheden opbevarede herefter en række oplysninger for at kunne dokumentere, at der var givet et samtykke til at foretage behandlingen. Oplysningerne omfattede deltagerens kontaktoplysninger, IP-adresse og et timestamp. Når deltageren trak sit samtykke tilbage, blev den oplysning også gemt og opbevaret på en såkaldt ”nej tak-liste”. Grundlaget for at opbevare oplysningerne var virksomhedens legitime interesse.

Oplysningerne om samtykket blev opbevaret i 5 år efter det blev givet eller trukket tilbage. Resten af oplysningerne i spørgeskemaet blev automatisk anonymiseret efter 1 år.

Gemt er ikke glemt

Oplysninger om et samtykkes gyldighed kan som udgangspunkt kun opbevares mens databehandlingen er i gang. Efter det, kan oplysningerne undtagelsesvist opbevares i en begrænset periode, hvis det skal gøres klart, om der er eller kan opstå en tvist. Datatilsynet understregede som konsekvens, at virksomhedens 5-årige opbevaringsperiode var ulovlig.

Virksomhedens 5-årige opbevaringsperiode var fastsat efter forældelsesfristen for brud på databeskyttelsesreglerne. Datatilsynet mente ikke, at den blotte mulighed for, at virksomheden kunne blive mødt af en straffesag nødvendiggjorde en længere opbevaringsperiode end udgangspunktet.

Datatilsynet understregede også, at ”nej tak-listen” klart var overflødig. Virksomheden skal dokumentere at et samtykke er gyldigt. Netop derfor var det også helt overflødigt at føre en liste over hvilke samtykker, der ikke længere var gyldige. Udover alvorlig kritik af listen, fik virksomheden også et påbud om at få slettet indholdet på listen inden for fire uger.

IUNO mener

Krav til opbevaring og sletning kan være svære at finde rundt i. Virksomheder bør på én gang fastsætte nogle generelle retningslinjer for hvornår oplysninger skal slettes, og samtidig foretage en konkret vurdering af, hvornår sletning bør ske.

IUNO anbefaler, at virksomheder især i forhold til opbevaring af oplysninger om samtykke sørger for at notere, om der kan være konkrete grunde til, at der kan opstå et tvist. Hvis der er det, bør oplysningerne om samtykket nemlig opbevares selvom behandlingsaktiviteten er afsluttet, for at virksomheden kan dokumentere at databeskyttelsesreglerne var overholdt.

[Datatilsynets afgørelse i journal nr. 2020-431-0075 af 30. september 2022]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

24. november 2022

Farvet samtykke til cookies kan være ulovlig nudging

logo
Teknologi

10. november 2022

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Litigation HR-jura Teknologi

8. november 2022

Nye krav til ”uafhængige” advokatundersøgelser i krænkelsessager

logo
Teknologi

13. oktober 2022

Advokatundersøgelse kritiseret af Datatilsynet

logo
Teknologi

22. september 2022

Datatilsynet tester virksomheders brug af cloud-løsninger

logo
Teknologi

8. september 2022

Hackerangreb bliver dyrt for advokatfirma

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat