For at anvende personoplysninger til digital markedsføring skal du have et gyldigt behandlingsgrundlag. Behandlingsgrundlag kaldes også for behandlingsbetingelser. Persondataforordningen indeholder 7 forskellige behandlingsbetingelser. Overholder du blot en af betingelserne, må du gerne behandle information om dine brugere eller kunder. Har du ikke et gyldigt grundlag går den dog ikke!
Du kan finde en liste med de 7 behandlingsbetingelse her.
Samtykke er den mest sikre behandlingsbetingelse at anvende
Samtykke er den sikreste behandlingsbetingelse at bruge. Dette gælder dog kun, hvis du har indhentet det korrekt fra dine website-besøgende, klubmedlemmer, kunder m.v. De fleste marketingmedarbejdere arbejder allerede med samtykke. Du skal fortsat indhente samtykke, f.eks. digitalt, før du må sende et nyhedsbrev, en SMS eller kontakte kunden på anden vis.
Bent er der nogle væsentlige ændringer i forhold til brugen af samtykke i den nye persondataforordning, udover tidsbegrænsning, som vi var inde på i sidste blogindlæg?
Bent: De direkte krav til samtykket er stort set de samme som under de nuværende regler. Samtykket skal være specifikt, informeret, utvetydigt og frivilligt. Den der giver samtykke, skal have oplyst, hvilke oplysninger der indsamles, hvem der er dataansvarlig, formålet med behandlingen, og hvad der skal ske med oplysningerne. Kort sagt skal kunden kunne forstå, hvad kunden siger ja til. Det nye består i, at den registrerede skal have at vide på forhånd, at samtykket kan trækkes tilbage til hver en tid. Ellers er samtykket ikke gyldigt.
Skal samtykket være udformet på en bestemt måde f.eks. på websitet, hvis man skriver sig op til et nyhedsbrev?
Bent: Der er ingen krav om at samtykket skal være udformet på en bestemt måde. Det kan både være skriftligt, mundtligt eller digitalt. Af hensyn til dokumentationskravet vil jeg dog altid anbefale, at samtykket indhentes skriftligt/digitalt. Man bør aldrig indhente et mundtligt samtykke.
Hvor skal samtykket gives? Er det f.eks. ok, at samtykket gives via en anden kanal end den kanal, som samtykket relaterer sig til? Et eksempel kunne være en offline konkurrence i en butik, hvor man opgiver sit mobilnummer for at deltage. Kunden giver samtidig lov til at butikken må kontakte dig efterfølgende via SMS.
Bent: Du må gerne indhente et samtykke fra en kunde i en butik og efterfølgende sende SMS til kunden. Det kræver som i alle andre tilfælde at kunden frivilligt har givet samtykke hertil og at du kan dokumentere dette.
I eksemplet, hvor butikken har valgt at bruge samtykke som det retlige grundlag for behandlingen, skal butikken huske at oplyse, hvordan samtykket kan trækkes tilbage igen. Der er ikke et krav om, at tilbagetrækningen af samtykket skal ske på samme måde, som da man gav det. Tilbagetrækningen må dog ikke være sværere, end måden man gav samtykket på. Når butikken sender noget til kunden pr. SMS, og det måske er en tilbagevendende behandling, vil det efter min vurdering være nødvendigt, at der står i SMS’en, hvordan samtykket trækkes tilbage igen. Eksempelvis ved at man besvarer beskeden med ”afmeld” eller lignende.
Det er dog den persondataretlige vinkel. Der kan være yderligere krav i anden lovgivning, fx markedsføringsloven.
Personalisering, analytics og behandlingsbetingelser
Der har været flere ude og advare imod at virksomheder efter persondataforordningen træder i kraft, fortsat logger IP-adressen via websitet. Anbefalingerne lyder på at fjerne eller anonymisere IP-adressen. Det skal siges, at selvom du videresender IP-adressen til f.eks. Google Analytics, så er denne information ikke gjort tilgængelig her.
Fjernes eller anonymiseres IP-adressen kan det have store konsekvenser for flere virksomheder. I forhold til, at overvåge hvor de besøgende på websitet kommer fra geografisk, vil tallene blive mindre valide. For mange virksomheder er geodata vigtig for at måle, om deres markedsføring har den ønskede effekt og i hvilke områder de måske skal skrue op, for at øge kendskab og tiltrække flere kunder. Derudover har det betydning for mange virksomheder, at kunne filtrere intern trafik fra deres medarbejdere fra i deres data. Trafikken kan være ret massiv alt efter virksomhedens størrelse. De interne besøgende har en anden adfærd end virksomhedens reelle målgruppe. En risiko er derfor, at man baserer sin optimering og udvikling af websitet på et skævt grundlag.
Logger man ikke IP-adressen kan ip-look-ups på ens hjemmeside til at præsentere personaliseret indhold, såsom den besøgendes nærmeste fysiske butik, heller ikke anvendes.
Der ligger helt sikkert en udfordring i at indhente samtykke fra en bruger, for at få lov til at indsamle og videregive IP-adressen. Brugerens IP-adresse opsamles allerede, så snart brugeren besøger dit website.
Kan et stiltiende samtykke eventuelt finde anvendelse her, hvor det er svært at indhente et aktivt samtykke? Eller er der et andet grundlag, der vil kunne bruges?
Bent: IP-adresser kan potentielt identificere en fysisk person. Derfor skal de som udgangspunkt anses for at være personoplysninger.
Så vidt jeg ved, er det ikke nødvendigt at bruge cookies, når man registrerer IP-adressen. Det kan dog være interessant at sammenligne oplysninger, der udledes af IP-adressen med oplysningerne i en cookie. Reglerne i ePrivacydirektivet (og fremover ePrivacyforordningen, når denne er vedtaget) er derfor ikke relevante, hvor der kræves samtykke fra den besøgende for at bruge cookies. Det er derfor kun persondataforordningens regler, der er relevante.
Der er ikke noget eksplicit forbud i persondataforordningen mod at indsamle IP-adresser. Som ved indsamling af alle andre personoplysninger, kræves der et retligt grundlag. Der er heller ikke noget eksplicit krav om, at kun samtykket kan bruges ved indsamling af IP-adresser.
For at den besøgende i det hele taget kan få adgang til hjemmesiden, er det nødvendigt, at hjemmesidens server får den besøgendes IP-adresse. Denne behandling kan ikke antages at kræve et samtykke. Det ville i det hele taget være nødvendigt at behandle IP-adressen for at indsamle et samtykke. Det retlige grundlag for en sådan behandling må være, at hjemmesidens ejer har en legitim interesse i at foretage behandlingen, og at den registrerede ikke har en interesse i, at behandlingen ikke sker. Tværtimod beder den registrerede selv om behandlingen ved at anmode om at besøge hjemmesiden ved indtastningen af hjemmesidens adresse i sin webbrowsers adresselinje.
Om man må bruge IP-adressen i et videre omfang til at fastlægge personens geografiske lokalitet, er en anden ting. Der er, så vidt jeg ved, ingen afgørelser om dette spørgsmål fra EU-domstolen.
Det britiske datatilsyn, ICO, har udstedt en vejledning om online persondata. ICO anbefaler, at man fjerner de sidste cifre i IP-adressen, såfremt det ikke er nødvendigt at bruge hele IP-adressen. Hvis man slet ikke benytter IP-adressen eller kun har brug for noget af IP-adressen til fx at estimere den besøgendes land, skal man således lade være med at registrere hele IP-adressen. Men ICO har i deres vejledning altså ikke noget decideret forbud mod brug af IP-adresser.
Jeg vil vurdere, at spørgsmålet ikke er endelig afgjort endnu. Hvis man skulle pege på et muligt retligt grundlag for behandlingen, ville jeg udpege den dataansvarliges legitime interesse i at se, hvor de besøgende kommer fra som led i sin markedsføring. Den registrerede kan dog have en interesse i, at man på ingen måde skal kunne finde frem til, hvilke hjemmesider han har besøgt. Min umiddelbare holdning er dog, at almindelige webshops gerne må bruge IP-adresser for at se, hvor de besøgende er fra, da det er begrænset, hvad en IP-adresse kan (mis)bruges til, og metoden til at finde frem til personen bag IP-adressen er for de fleste kun en teoretisk mulighed. Andre vil dog være uenige heri og mene, at alle borgere skal have ret til i videst muligt omfang at surfe fuldstændig anonymt på nettet. Især de tyske datatilsyn er meget skrappe og kræver som udgangspunkt anonymisering af IP-adressen i Google Analytics.
Mig bekendt har det danske datatilsyn aldrig taget stilling til spørgsmålet. Jeg ville under alle omstændigheder oplyse om behandlingen i hjemmesidens privatlivspolitik, hvis jeg valgte at bruge de besøgendes IP-adresser på min hjemmeside.
Jeg vil dog fraråde, at hjemmesider med eksempelvis politisk, religiøst, erotisk, fagforeningsmæssigt eller helbredsmæssigt indhold logger IP-adresser, da dette kan anses for at være følsomme personoplysninger (da man kan se, at vedkommende på et bestemt tidspunkt besøgte siden), hvorefter den registreredes interesse i at logningen ikke sker, må overstige hjemmesideejerens interesse i logningen.
Udover persondatalovgivningen har analyseredskabsudbydere ofte regler om personoplysninger i deres standardvilkår. I Google Analytics’ standardvilkår fremgår det af pkt. 7, at man ikke må videregive personidentificerende oplysninger til Google Analytics. Google definerer dog ikke, hvad de mener med ”personidentificerende oplysninger”. Efter hvad jeg har læst inde på Google Analytics’ supportside om anonymisering af IP-adresser, lyder det for mig som om, at Google ikke anser IP-adresser for at være personidentificerende oplysninger, men dette har jeg ikke kunnet få endelig bekræftet.
Google Analytics’ vilkår kan ses her.
Jeg har ikke indsigt nok til at vide, i hvilket omfang Google Analytics opbevarer IP-adresserne og til hvilket formål de opbevares. Dette kan frembyde et problem i forhold til rettet til at blive glemt.
Man kan forestille sig, at Google vil komme med en mere klar udmelding herom inden persondataforordningen træder i kraft. Vi holder øje!
Behandling af IP-adresser kan være nødvendigt for at forfølge en berettiget interesse
I en del tilfælde bliver persondata behandlet af sikkerhedsmæssige grunde. Det kan være for at sikre websitet mod hacking og spam. Flere sikkerhedsplugins logger besøgendes IP-adresser. Formålet er her at beskytte websitet mod forsøg på hacking. Et godt eksempel er WordPress websites, der har installeret Akismet. Dette plugin tjekker for spam-kommentarer på din blog. I min optik, kan samtykke ikke være den rette behandlingsbetingelse at anvende, hvis du via et plugin indsamler persondata. Kan andre grundlag anvendes her?
Bent: Indsamlingen af personoplysninger kan i tilfælde, hvor det handler om at sikre websitet og dermed også andre brugeres personoplysninger være en berettiget interesse. Du har her som website- eller webshopejer en legitim interesse i at lave foranstaltninger, der giver en høj sikkerhed ved anvendelsen af dit websted. Det mener jeg også, man kan udlede af EU-domstolens dom i sagen Patrick Breyer mod Tyskland. Du skal dog oplyse i din privatlivspolitik, hvis du indsamler IP-adresser på besøgende med det formål, at beskytte dit website mod spam og hacking-forsøg.
Retargeting – måske er der ændringer på vej!
Næsten alle såkaldte reklame-cookies, betragtes i persondataforordningen som personoplysninger, fordi de er tilknyttet en bestemt enhed. De kan derfor potentielt tilknyttets en bestemt person.
I dag ser man oftest at information om f.eks. tredjepartscookies til brug for retargeting, er indskrevet i cookie-meddelelsen. Kan man fortsat indhente samtykke til retargeting via cookie-beskeden?
Bent: Da spørgsmålet omhandler cookies, skal retsgrundlaget for behandlingen ikke findes i persondataforordningen, men derimod i ePrivacydirektivet, der nærmere regulerer installering af og adgang til cookies.
EPrivacydirektivet kræver, at man opnår samtykke fra den besøgende, inden der lagres cookies på den besøgendes enhed. Et samtykke efter ePrivacydirektivet kan indhentes ved, at der popper et cookie-banner op, når man besøger hjemmesiden, der informerer den besøgende om brugen af cookies. Samtykket er dog først indhentet, når den besøgende har foretaget en aktiv handling på hjemmesiden. Dette kan fx være, at han trykker på ”ok” til cookiebanneret, eller at han trykker videre på hjemmesiden. Det er vigtigt at understrege, at den besøgende skal have gjort noget aktivt på siden. Hvis han blot bliver hængende på hjemmesidens forside uden at foretage sig noget, har han ikke samtykket, og der må ikke installeres reklamecookies på hans computer. Cookies, der er helt nødvendige for, at hjemmesiden kan fungere, er dog tilladt at installere uden samtykke. Erhvervsstyrelsen har udarbejdet en vejledning om, hvordan hjemmesideejeren konkret kan leve op til reglerne om cookies.
Der kommer dog snart nye regler på området. I EU behandles et forslag til ePrivacyforordningen, der skal erstatte ePrivacydirektivet. Der lægges op til, at der fremover ikke skal bruges cookiebannere i samme stil som før, men at brugerne i stedet skal give et generelt forhåndssamtykke til bestemte cookie-typer i deres browserindstillinger. Reglerne er dog ikke endeligt vedtaget, og det er derfor på nuværende tidspunkt svært at spå om, hvordan det kommer til at se ud fremover.
I næste blogindlæg rettes fokus på den registreredes rettigheder. Mon dine marketingprocesser og systemer kan leve op til de mange rettigheder dine kunder har – f.eks. en væsentlig ændring i persondataforordningen, der handler om retten til at blive glemt!
Husk at du har mulighed for at stille spørgsmål til Leoni Advokater om persondataforordningen – GDPR. Har du brug for at få uddybet emner vi tidligere har været inde på, er du også velkommen til at skrive en kommentar.
*Vær opmærksom på, at du ikke kan se dit spørgsmål, før jeg har godkendt det.