Ny vejledning fra Datatilsynet om direkte markedsføring
Størstedelen af markedsføringsaktiviteter er datadrevne. Markedsføring er eksempelvis datadrevet, når aktiviteten bruger personoplysninger eller er målrettet specifikke modtagere. Når det er tilfældet, gælder databeskyttelsesreglerne. Datatilsynet har nu udarbejdet en vejledning, der afklarer forskellige spørgsmål, som kan opstå som led i virksomheders markedsføringsaktiviteter.
”Direkte markedsføring” er kommerciel kommunikation, der direkte og individuelt henvender sig til en bestemt person. Det kan tage mange former, for eksempel ved brug af e-mail, post, telefonopkald, online reklamer eller anden markedsføring på sociale medier.
Ifølge Datatilsynet kan andre behandlingsaktiviteter også være direkte markedsføring. Det er tilfældet for de behandlingsaktiviteter, som gør det muligt for virksomheder at kontakte bestemte personer. Eksempler på det er, når virksomheder indsamler oplysninger, udvælger modtagere fra datasæt, deler oplysninger eller foretager profilering med henblik på at rette henvendelse.
Stil de rigtige spørgsmål
Før virksomheder iværksætter markedsføringsaktiviteter, er det først vigtigt at undersøge:
- Hvilke oplysninger der er nødvendige
- Hvilke kategorier af oplysninger der skal behandles
- Hvilke markedsføringsaktiviteter der skal udføres
Når det er klarlagt, skal virksomheder overveje behandlingsgrundlaget. Som udgangspunkt er de primære behandlingsgrundlag enten samtykke eller legitim interesse. Et samtykke skal altid være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse. Legitim interesse skal altid være specifikt defineret og være udtryk for en reel og aktuel interesse.
Uanset hvilket af de to behandlingsgrundlag der er tale om, skal grundlaget dokumenteres. Detaljegraden afhænger af, om der er tale om en indgribende markedsføringsaktivitet eller ej. Indgribende markedsføring kan være profilering med henblik på målrettet markedsføring.
IUNO mener
Datadrevne markedsføringsaktiviteter skal planlægges i detaljer. Selvom markedsføringsaktiviteterne overholder databeskyttelsesreglerne, skal det også dokumenteres. Dokumentationen skal afspejle de forskellige overvejelser, som virksomheder har foretaget. Kravene er strengere, når markedsføringsaktiviteten omfatter særlige kategorier af personoplysninger, som helbredsoplysninger eller lignende.
IUNO anbefaler af den grund, at virksomheder har klare planer for tilrettelæggelsen af markedsføringsaktiviteter. Hvis der ikke er styr på dokumentationen, kan det i sig selv resultere i, at databeskyttelsesreglerne ikke er overholdt under alle omstændigheder. Udover databeskyttelsesreglerne, skal virksomheder selvfølgelig også være opmærksomme på en række andre regelsæt. Det kan være markedsføringsloven, CVR-loven, cookie-reglerne eller forbrugeraftaleloven.
[Datatilsynets vejledning om direkte markedsføring af juni 2023]
”Direkte markedsføring” er kommerciel kommunikation, der direkte og individuelt henvender sig til en bestemt person. Det kan tage mange former, for eksempel ved brug af e-mail, post, telefonopkald, online reklamer eller anden markedsføring på sociale medier.
Ifølge Datatilsynet kan andre behandlingsaktiviteter også være direkte markedsføring. Det er tilfældet for de behandlingsaktiviteter, som gør det muligt for virksomheder at kontakte bestemte personer. Eksempler på det er, når virksomheder indsamler oplysninger, udvælger modtagere fra datasæt, deler oplysninger eller foretager profilering med henblik på at rette henvendelse.
Stil de rigtige spørgsmål
Før virksomheder iværksætter markedsføringsaktiviteter, er det først vigtigt at undersøge:
- Hvilke oplysninger der er nødvendige
- Hvilke kategorier af oplysninger der skal behandles
- Hvilke markedsføringsaktiviteter der skal udføres
Når det er klarlagt, skal virksomheder overveje behandlingsgrundlaget. Som udgangspunkt er de primære behandlingsgrundlag enten samtykke eller legitim interesse. Et samtykke skal altid være frivilligt, specifikt, informeret og udtryk for en utvetydig viljestilkendegivelse. Legitim interesse skal altid være specifikt defineret og være udtryk for en reel og aktuel interesse.
Uanset hvilket af de to behandlingsgrundlag der er tale om, skal grundlaget dokumenteres. Detaljegraden afhænger af, om der er tale om en indgribende markedsføringsaktivitet eller ej. Indgribende markedsføring kan være profilering med henblik på målrettet markedsføring.
IUNO mener
Datadrevne markedsføringsaktiviteter skal planlægges i detaljer. Selvom markedsføringsaktiviteterne overholder databeskyttelsesreglerne, skal det også dokumenteres. Dokumentationen skal afspejle de forskellige overvejelser, som virksomheder har foretaget. Kravene er strengere, når markedsføringsaktiviteten omfatter særlige kategorier af personoplysninger, som helbredsoplysninger eller lignende.
IUNO anbefaler af den grund, at virksomheder har klare planer for tilrettelæggelsen af markedsføringsaktiviteter. Hvis der ikke er styr på dokumentationen, kan det i sig selv resultere i, at databeskyttelsesreglerne ikke er overholdt under alle omstændigheder. Udover databeskyttelsesreglerne, skal virksomheder selvfølgelig også være opmærksomme på en række andre regelsæt. Det kan være markedsføringsloven, CVR-loven, cookie-reglerne eller forbrugeraftaleloven.
[Datatilsynets vejledning om direkte markedsføring af juni 2023]
