Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
Nyhed
GDPR

Sagen vedrørte en lead-genereringvirksomheds videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer samt brug og videregivelse af spørgeskemaer til samarbejdspartnere.

Indhentning af samtykker

Ved deltagelse i konkurrencen skulle deltagerne give samtykke til, at virksomheden måtte behandle og videregive personoplysninger.

Datatilsynet vurderede, at samtykket var i overensstemmelse med databeskyttelsesreglerne, men at det gav anledning til at overveje, om samtykket var frivilligt givet. Dette skyldes, at virksomheden ikke blot indsamlede personoplysninger til egen brug, men disse blev også videregivet til samarbejdspartnernes direkte markedsføring. Der var dermed tale om forskellige behandlingsaktiviteter.

Ifølge Datatilsynets praksis antages samtykke ikke for at være givet frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Samtykket skal altså granuleres.

Datatilsynet vurderede desuden, at oplysningerne i spørgeskemaerne var for detaljerede til at kunne videregives efter interesseafvejningsreglen, og at videregivelse af oplysningerne derfor krævede samtykke.

Opbevaring af personoplysninger

Virksomheden meddelte, at virksomheden opbevarer oplysninger for at kunne dokumentere gyldigheden af indhentede samtykker.

Datatilsynet udtalte, at når behandlingen ophører, skal oplysningerne også som udgangspunkt slettes, men at disse dog kan opbevares i en begrænset periode i tilfælde af eventuelle tvister. 

Derudover opbevarede virksomheden konkurrencedeltagernes telefonnummer og e-mail på en nej-tak-liste.

Datatilsynet udtalte her, at virksomheden med nej-tak-listen foretog en unødvendig behandling af personoplysninger, og rejste derfor alvorlig kritik af virksomhedens unødvendige behandling af personoplysninger.

Deltagere modtog utilstrækkelig information

Virksomheden oplyste, at konkurrencedeltagerne blev dirigeret videre til virksomhedens persondatapolitik gennem et link i konkurrencen, hvor deltagerne fik de nødvendige oplysninger i henhold til GDPR.

Datatilsynet udtalte, at informationen om behandlingen af deltagernes personoplysninger var utilstrækkelig, da deltagerne ikke blev gjort opmærksomme på, at virksomheden fortsat opbevarede personoplysningerne, efter samtykket var trukket tilbage. 

Læs afgørelsen her.

Lund Elmer Sandagers kommentar

Afgørelsen har betydning for virksomheder, der genererer leads og for de virksomheder, der modtager leads fra disse virksomheder. Det er vigtigt, at når der indsamles markedsføringssamtykker, at de involverede personer behørigt og tilstrækkeligt informeres om hvilken behandling, de har samtykket til. Det er på samme måde vigtigt, at de virksomheder, der modtager leads, får adgang til og forsvarligt opbevarer samtykke fra de registrerede.

Det er også vigtigt, at virksomheder ikke unødvendigt opbevarer personoplysninger, heller ikke for at sikre sig, at man ikke kontakter folk unødigt.

Det er særligt vigtigt, at virksomheder sætter sig grundigt ind i reglerne for sletning, så der ikke hersker tvivl om, hvor og hvornår personoplysninger skal slettes.

Læs mere om reglerne for sletning på Datatilsynets hjemmeside her.

Du kan også læse om de registreredes rettigheder og dine forpligtelser som virksomhed på Datatilsynet hjemmeside her.

Har du spørgsmål til sagen eller til reglerne for markedsføring og GDPR, er du velkommen til at kontakte vores specialister på området partner, advokat Torsten Hylleberg eller advokat Jimmy Fuglsbjerg Christensen.

Relaterede nyheder

Se alle nyheder
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR
Nyhed

Nye regler om whistleblowerordning sendt i høring

Lovforslaget om beskyttelse af whistleblowere er sendt i høring. Lovforslaget indebærer blandt andet, at alle danske virksomheder med 50 eller flere medarbejdere bliver forpligtet til at etablere en intern whistleblowerordning. Whistleblowerordningen skal leve op til en række krav og procedurer. Virksomheder med eksisterende whistleblowerordninger skal derfor også vurdere, om deres nuværende ordning lever op til de nye krav.
GDPR