Kritik og påbud af virksomheds databehandling på ”nej tak-liste”
Datatilsynet iværksatte en undersøgelse af hvordan en markedsføringsvirksomhed behandlede personoplysninger ved udbud af internetkonkurrencer og tilknyttede spørgeskemaer. Tilsynet mundede ud i flere bemærkninger til behandling af oplysninger i markedsføringsøje med, navnlig i forhold til hvordan oplysningerne blev opbevaret.
Efter en henvendelse fra Forbrugerombudsmanden, besluttede Datatilsynet at indlede et tilsyn af hvordan en markedsføringsvirksomhed videregav personoplysninger. Oplysningerne blev indsamlet ved internetkonkurrencer, som indebar at deltageren skulle udfylde et spørgeskema. Spørgeskemaoplysningerne blev brugt til at lave personlig markedsføring efter deltagerens behov.
Virksomheden opbevarede herefter en række oplysninger for at kunne dokumentere, at der var givet et samtykke til at foretage behandlingen. Oplysningerne omfattede deltagerens kontaktoplysninger, IP-adresse og et timestamp. Når deltageren trak sit samtykke tilbage, blev den oplysning også gemt og opbevaret på en såkaldt ”nej tak-liste”. Grundlaget for at opbevare oplysningerne var virksomhedens legitime interesse.
Oplysningerne om samtykket blev opbevaret i 5 år efter det blev givet eller trukket tilbage. Resten af oplysningerne i spørgeskemaet blev automatisk anonymiseret efter 1 år.
Gemt er ikke glemt
Oplysninger om et samtykkes gyldighed kan som udgangspunkt kun opbevares mens databehandlingen er i gang. Efter det, kan oplysningerne undtagelsesvist opbevares i en begrænset periode, hvis det skal gøres klart, om der er eller kan opstå en tvist. Datatilsynet understregede som konsekvens, at virksomhedens 5-årige opbevaringsperiode var ulovlig.
Virksomhedens 5-årige opbevaringsperiode var fastsat efter forældelsesfristen for brud på databeskyttelsesreglerne. Datatilsynet mente ikke, at den blotte mulighed for, at virksomheden kunne blive mødt af en straffesag nødvendiggjorde en længere opbevaringsperiode end udgangspunktet.
Datatilsynet understregede også, at ”nej tak-listen” klart var overflødig. Virksomheden skal dokumentere at et samtykke er gyldigt. Netop derfor var det også helt overflødigt at føre en liste over hvilke samtykker, der ikke længere var gyldige. Udover alvorlig kritik af listen, fik virksomheden også et påbud om at få slettet indholdet på listen inden for fire uger.
IUNO mener
Krav til opbevaring og sletning kan være svære at finde rundt i. Virksomheder bør på én gang fastsætte nogle generelle retningslinjer for hvornår oplysninger skal slettes, og samtidig foretage en konkret vurdering af, hvornår sletning bør ske.
IUNO anbefaler, at virksomheder især i forhold til opbevaring af oplysninger om samtykke sørger for at notere, om der kan være konkrete grunde til, at der kan opstå et tvist. Hvis der er det, bør oplysningerne om samtykket nemlig opbevares selvom behandlingsaktiviteten er afsluttet, for at virksomheden kan dokumentere at databeskyttelsesreglerne var overholdt.
[Datatilsynets afgørelse i journal nr. 2020-431-0075 af 30. september 2022]
Efter en henvendelse fra Forbrugerombudsmanden, besluttede Datatilsynet at indlede et tilsyn af hvordan en markedsføringsvirksomhed videregav personoplysninger. Oplysningerne blev indsamlet ved internetkonkurrencer, som indebar at deltageren skulle udfylde et spørgeskema. Spørgeskemaoplysningerne blev brugt til at lave personlig markedsføring efter deltagerens behov.
Virksomheden opbevarede herefter en række oplysninger for at kunne dokumentere, at der var givet et samtykke til at foretage behandlingen. Oplysningerne omfattede deltagerens kontaktoplysninger, IP-adresse og et timestamp. Når deltageren trak sit samtykke tilbage, blev den oplysning også gemt og opbevaret på en såkaldt ”nej tak-liste”. Grundlaget for at opbevare oplysningerne var virksomhedens legitime interesse.
Oplysningerne om samtykket blev opbevaret i 5 år efter det blev givet eller trukket tilbage. Resten af oplysningerne i spørgeskemaet blev automatisk anonymiseret efter 1 år.
Gemt er ikke glemt
Oplysninger om et samtykkes gyldighed kan som udgangspunkt kun opbevares mens databehandlingen er i gang. Efter det, kan oplysningerne undtagelsesvist opbevares i en begrænset periode, hvis det skal gøres klart, om der er eller kan opstå en tvist. Datatilsynet understregede som konsekvens, at virksomhedens 5-årige opbevaringsperiode var ulovlig.
Virksomhedens 5-årige opbevaringsperiode var fastsat efter forældelsesfristen for brud på databeskyttelsesreglerne. Datatilsynet mente ikke, at den blotte mulighed for, at virksomheden kunne blive mødt af en straffesag nødvendiggjorde en længere opbevaringsperiode end udgangspunktet.
Datatilsynet understregede også, at ”nej tak-listen” klart var overflødig. Virksomheden skal dokumentere at et samtykke er gyldigt. Netop derfor var det også helt overflødigt at føre en liste over hvilke samtykker, der ikke længere var gyldige. Udover alvorlig kritik af listen, fik virksomheden også et påbud om at få slettet indholdet på listen inden for fire uger.
IUNO mener
Krav til opbevaring og sletning kan være svære at finde rundt i. Virksomheder bør på én gang fastsætte nogle generelle retningslinjer for hvornår oplysninger skal slettes, og samtidig foretage en konkret vurdering af, hvornår sletning bør ske.
IUNO anbefaler, at virksomheder især i forhold til opbevaring af oplysninger om samtykke sørger for at notere, om der kan være konkrete grunde til, at der kan opstå et tvist. Hvis der er det, bør oplysningerne om samtykket nemlig opbevares selvom behandlingsaktiviteten er afsluttet, for at virksomheden kan dokumentere at databeskyttelsesreglerne var overholdt.
[Datatilsynets afgørelse i journal nr. 2020-431-0075 af 30. september 2022]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet