Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer
Sagen vedrørte en lead-genereringvirksomheds videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer samt brug og videregivelse af spørgeskemaer til samarbejdspartnere.
Indhentning af samtykker
Ved deltagelse i konkurrencen skulle deltagerne give samtykke til, at virksomheden måtte behandle og videregive personoplysninger.
Datatilsynet vurderede, at samtykket var i overensstemmelse med databeskyttelsesreglerne, men at det gav anledning til at overveje, om samtykket var frivilligt givet. Dette skyldes, at virksomheden ikke blot indsamlede personoplysninger til egen brug, men disse blev også videregivet til samarbejdspartnernes direkte markedsføring. Der var dermed tale om forskellige behandlingsaktiviteter.
Ifølge Datatilsynets praksis antages samtykke ikke for at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Samtykket skal altså granuleres.
Datatilsynet vurderede desuden, at oplysningerne i spørgeskemaerne var for detaljerede til at kunne videregives efter interesseafvejningsreglen, og at videregivelse af oplysningerne derfor krævede samtykke.
Opbevaring af personoplysninger
Virksomheden meddelte, at virksomheden opbevarer oplysninger for at kunne dokumentere gyldigheden af indhentede samtykker.
Datatilsynet udtalte, at når behandlingen ophører, skal oplysningerne også som udgangspunkt slettes, men at disse dog kan opbevares i en begrænset periode i tilfælde af eventuelle tvister.
Derudover opbevarede virksomheden konkurrencedeltagernes telefonnummer og e-mail på en nej-tak-liste.
Datatilsynet udtalte her, at virksomheden med nej-tak-listen foretog en unødvendig behandling af personoplysninger, og rejste derfor alvorlig kritik af virksomhedens unødvendige behandling af personoplysninger.
Deltagere modtog utilstrækkelig information
Virksomheden oplyste, at konkurrencedeltagerne blev dirigeret videre til virksomhedens persondatapolitik gennem et link i konkurrencen, hvor deltagerne fik de nødvendige oplysninger i henhold til GDPR.
Datatilsynet udtalte, at informationen om behandlingen af deltagernes personoplysninger var utilstrækkelig, da deltagerne ikke blev gjort opmærksomme på, at virksomheden fortsat opbevarede personoplysningerne, efter samtykket var trukket tilbage.
Læs afgørelsen her.
Lund Elmer Sandagers kommentar
Afgørelsen har betydning for virksomheder, der genererer leads og for de virksomheder, der modtager leads fra disse virksomheder. Det er vigtigt, at når der indsamles markedsføringssamtykker, at de involverede personer behørigt og tilstrækkeligt informeres om hvilken behandling, de har samtykket til. Det er på samme måde vigtigt, at de virksomheder, der modtager leads, får adgang til og forsvarligt opbevarer samtykke fra de registrerede.
Det er også vigtigt, at virksomheder ikke unødvendigt opbevarer personoplysninger, heller ikke for at sikre sig, at man ikke kontakter folk unødigt.
Det er særligt vigtigt, at virksomheder sætter sig grundigt ind i reglerne for sletning, så der ikke hersker tvivl om, hvor og hvornår personoplysninger skal slettes.
Læs mere om reglerne for sletning på Datatilsynets hjemmeside her.
Du kan også læse om de registreredes rettigheder og dine forpligtelser som virksomhed på Datatilsynet hjemmeside her.
Har du spørgsmål til sagen eller til reglerne for markedsføring og GDPR, er du velkommen til at kontakte vores specialister på området partner, advokat Torsten Hylleberg eller advokat Jimmy Fuglsbjerg Christensen.