Hvilke behandlingsprincipper skal jeg opfylde?

Tinne Bering

En af de nye ting i persondataforordningen er, at man skal vide, hvad man vil bruge de indsamlede personoplysninger til. Det vil sige, at selve formålet med indsamlingen af personoplysninger til brug i den digitale markedsføring skal være kendt.

Udover formål, er der en række andre grundlæggende behandlingsprincipper, som man skal opfylde. Den dataansvarlige skal kunne dokumentere at behandlingsprincipperne overholdes.

Hvilke behandlingsprincipper er vigtige, når du markedsfører dig via digitale kanaler?

Hvilke behandlingsprincipper er vigtige at kende, når man anvender personoplysninger til digital markedsføring.

Bent, hvilke behandlingsprincipper er de vigtigste, at man forholder sig til, når man anvender personoplysninger til digital markedsføring og/eller opsamler dem i forbindelse med køb på en webshop?

Bent: De vigtigste behandlingsprincipper er:

  • Lovlighed
  • Rimelighed
  • Gennemsigtighed
  • Formål
  • Korrekthed
  • Tidsbegrænsning
  • Proportionalitet og relevans
  • og selvfølgelig sikkerhed

Disse grundlæggende behandlingsprincipper skal man opfylde, hvis man vil foretage behandlinger af personoplysninger.

Lad os prøve at gøre det mere klart, hvad de enkelte behandlingsprincipper handler om. Behandlingsprincippet sikkerhed er meget omfattende, så det tager vi særskilt op i et senere blogindlæg.

Lovlighed

Lovlighed betyder, at den behandling man foretager selvfølgelig skal være lovlig. Hermed menes der ikke bare, at man skal overholde persondataforordningen, men at virksomhederne også skal efterleve anden gældende lovgivning, f.eks. markedsføringsloven. I hvilke love findes der særregler om behandling af personoplysninger, som virksomhederne også skal overholde og kende til?

Bent: Det er endnu ikke fastlagt om særregler i den danske lovgivning for behandling af bestemte typer af personoplysninger vil blive opretholdt.  Bibeholdes disse, bør man være opmærksom på, at der findes særregler i en række love som:

Lovlighed betyder at man skal overholde andre særregler i lovgivningen om behandling af personoplysninger.

  • Lov om finansiel virksomhed
  • Sundhedsloven
  • Helbredsoplysningsloven
  • Tv-overvågningsloven
  • Arkivloven
  • CPR-loven
  • Markedsføringsloven

De har forskellig relevans alt efter hvilken type virksomhed man er, og hvilke behandlinger man foretager.

Rimelighed

Behandlingsprincippet om at en behandling skal være rimelig, er et noget uklart begreb. Om en behandling af en personoplysning er rimelig, kan der være delte meninger om, alt efter ens udgangspunkt og værdisæt. Lad mig give et eksempel. Er det f.eks. rimeligt, at man skal afgive sin fødselsdag, for at få lov til at tilmelde sig en kundeklub? Der kunne jo både være en kunde, der synes, at det bestemt ikke var rimeligt. På den anden side vil virksomheden nok argumentere for, at rimeligheden lå i at kunden fik en rabat i fødselsdagsgave til gengæld.

Bent. Det er helt korrekt at kravet om rimelighed ikke er præcist defineret i persondataforordningen. Den handler om, at man selvom man måske lever op til forordningen overordnet set, også skal leve op til det der betegnes ”lovens ånd”. Tilsynsmyndighederne har herved mulighed for at træde ind, i tilfælde, hvor forordningen godt nok bliver overholdt, men hvor behandlingen alligevel må anses som uhensigtsmæssig. Egentlig er det et udtryk for, at man i lovgivningen umuligt kan ”få alt med”, og at man gerne vil undgå dataansvarliges sindrige juridiske konstruktioner, der omgår reglerne. Retssikkerhedsmæssigt er det dog problematisk at bruge en sådan regel, hvorfor det også må forventes, at den vil blive brugt sparsomt. .

Det er helt korrekt at kravet om rimelighed ikke er præcist defineret i persondataforordningen.Der kan selvfølgelig aldrig blive enighed om, hvornår noget er rimeligt eller urimeligt. Det er dog et fingerpeg om, at man ikke altid kan nøjes med en absolut minimumsindsats. Den dataansvarlige har fx en oplysningspligt ved den første registrering af behandlinger. Denne pligt bortfalder dog, hvis det må antages, at den registrerede allerede kender indholdet af oplysningspligten (fx navn og kontaktoplysninger på den dataansvarlige). I stedet for at den dataansvarlige antager, at den registrerede kender til oplysningerne, kan det være en god ide at give dem oplysningerne alligevel for en sikkerheds skyld.

Jeg vil ikke mene, der er noget problematisk mht. at bede om en kundes fødselsdato ved indmeldelse i en kundeklub. Vil man dække sig ind i forhold til princippet om rimelighed, kunne man gøre det frivilligt ved indmeldelsen, om man vil opgive fødselsdato eller ej.

Gennemsigtighed

I forordningen, er det beskrevet at den dataansvarlige, skal sikre at de registrerede forstår hvad de siger ja til. Den dataansvarlige skal formidle det, i et forståeligt og i en lettilgængelig form.

Det er ikke nyt, at virksomheder skal gøre det så gennemsigtigt som muligt, hvad en kunde f.eks. giver samtykke til, når de besøger et website. Her tænker jeg specifikt på cookie-meddelelser. I dag er der allerede en række problemer med sådanne meddelelser. Det er reelt set svært for de fleste at gennemskue præcist, hvad der står i virksomhedernes cookie-meddelelser og Privacy Policies – eller privatlivspolitikker. Det er også de færreste kunder, der gider at bruge tid på at tygge sig igennem det.

Det handler måske ikke så meget om uvilje fra virksomhedens side i forhold til at gøre det gennemsigtigt, hvad de bruger personoplysninger til. Det er snarere, at det er en udfordring for både kommunikations- og marketingfolk at formidle, så man er sikker på at kunden/brugeren forstår hvordan deres persondata behandles. Mange gange er Privacy Policien formidlet i et juridisk sprog og også skrevet af en jurist, fordi virksomheden samtidig vil sikre sig, at teksten også sikre dem selv. Er der i forordningen en bedre præcisering af, hvilke oplysninger, man bør give besøgende af sit website og kunder, der afgiver personoplysninger i forbindelse med at de handler i din webshop?

Bent: Ja, I forordningen er der indskrevet en oplysningspligt, man kan følge for bedre at overholde princippet om gennemsigtighed. Man har også pligt til at informere sine leads eller kunder, hvis virksomheden vil bruge personoplysninger til et andet formål end det man oprindeligt oplyste om. Her er en liste over, hvad man SKAL orientere om:

  • Den dataansvarliges navn og kontaktoplysninger
  • Kontaktoplysninger på databeskyttelsesrådgiveren – hvis man har en
  • Hvad formålet med behandlingen er
  • Hvilke modtagere eller kategorier af modtagere man sender personoplysningerne videre til.
  • Sender virksomheden personoplysninger til et land uden for EU, skal der oplyses om sikkerhedsmæssige overvejelser i denne forbindelse.
  • Tidsperiode man opbevarer oplysningerne
  • Hvilke rettigheder den registrerede har
  • Om indsamlingen er frivilligt, eller om man skal give oplysninger ifølge af en kontrakt eller en lov.
  • Oplysning om der sker automatiseret behandlinger af personoplysningerne

Det må vel betyde at mange virksomheder, skal tilrette eller skrive deres privatlivspolitikker om? Fremadrettet er der vel også behov for at være mere opmærksom på at opdatere politikkerne løbende?

Bent: Ja, alle virksomheder bør som følge af persondataforordningen gennemgå deres privatlivspolitikker, der ligger på deres hjemmeside. Mange vil nok opdage, at der er brug for at de omformulerer og tilføjer noget, så disse bliver mere gennemsigtige. De skal også have indarbejdet en proces for løbende at holde dem opdateret. Det vigtige er, at lægge kortene frem på bordet og ærligt beskrive, hvad der sker med den registreredes oplysninger.

Formål

Når persondataforordningen træder i kraft må den dataansvarlige kun indsamle persondata, hvis der er et klart formål med det. At formålet skal være kendt kan potentielt sætte en række begrænsninger for den kreative proces. Det er jo en vigtig del af at udforme nye digitale marketing tiltag og klare sig i konkurrencen om at tiltrække kunder. Den hastighed, hvormed nye digitale virkemidler og funktionalitet udvikles for anvendelse af personoplysninger i markedsføringen, gør det selvsagt svært at kende alle tænkelige formål, virksomheden kan bruge dataene til. Hvor udtrykkeligt eller specifikt skal formålet egentligt formuleres og vil en mere bred beskrivelse opfylde kravet om saglighed?Vil den kreative proces blive udfordret af persondataforordningen?

Bent: Det er umuligt at beskrive fuldstændig, hvornår et formål er sagligt. Der skal dog være en naturlig sammenhæng mellem virksomhedens aktiviteter og dennes indsamling af personoplysninger.

At formålet skal være udtrykkeligt betyder ikke, at det nødvendigvis skal formuleres skriftligt. Det betyder dog at den dataansvarlige skal være i stand til at redegøre for, hvorfor en specifik personoplysning indsamles. Det vil dog som følge af dokumentationskravet ofte være nødvendigt at nedfælde formålet skriftligt, og desuden skal man meddele formålet med behandlingen til den registrerede i medfør af oplysningspligten. Man ikke må fravige det oprindelige formål med indsamlingen, hvis det nye formål er uforeneligt med det oprindelige formål.

Den registrerede skal kunne forudsige, hvad der sker med oplysningerne. Hvis den registrerede eksempelvis gav oplysninger om sig selv med henblik på gennemførelse af salg, kan han ikke forudsige, at oplysningerne fx vil blive solgt til et andet firma, for at dette firma kan markedsføre et helt andet produkt til ham.

Formålet må heller ikke være så bredt og vagt, så det reelt ikke siger noget om behandlingens egentlige formål. Det fremgår af forarbejderne til den nuværende persondatalov, at ”til administrative formål” eller ”til kommercielle formål” er for bredt formuleret. Datatilsynet har i en afgørelse accepteret det ellers ret vage udtryk ”til brug for udbud af finansielle ydelser”. Dog har Artikel 29-gruppen (det man på en måde kan kalde det europæiske datatilsyn) udtalt, at eksempelvis ”til markedsføringsformål” er for vagt i de fleste tilfælde. Jeg vil derfor mene, at der skal ske en vis udspecificering af formålet, eksempelvis ”til administration af personalet, herunder udbetaling af løn og planlægning af den ansattes arbejde” eller ”til markedsføring af virksomhedens produkter, herunder til brug for fremsendelse af annoncer baseret på den registreredes adfærd på internettet” er tilstrækkeligt klare formål, man kan anvende. Det må dog heller ikke blive en lang og kompliceret redegørelse, da dette gør det mindre transparent, så det handler om at finde en balance.

Det at man skal vide formålet, betyder det at virksomheden ikke må spørge til f.eks. køn og antal børn, hvis de ikke ved om de skal bruge oplysningerne til f.eks. segmenterede mails? Og hvad nu hvis virksomheden rent faktisk har ambitioner om at bruge dataene på sigt? Det tager jo ofte tid, at bygge en brugbar database op.

Bent: Virksomheden må ikke indsamle personoplysninger, hvis de ikke er klar over, hvad de skal bruge dem til og reelt set kun indsamler dem fordi de vil gardere sig, skulle de komme på et godt formål at bruge dem til. Der er selvfølgelig en skønsmargin for, hvilke oplysninger, der er relevante at indsamle, da det ikke altid er sikkert at vide på forhånd. Hvis man med sikkerhed ved, at det ikke er nødvendigt at indsamle den pågældende oplysning, må man ikke foretage indsamlingen.

Hvis du har et retligt grundlag for at indsamle oplysninger om køn og antal børn, og du har reelle planer om på sigt at bruge oplysningerne til segmenterede mails, kan jeg ikke se noget problem i det. Såfremt du opgiver dine planer og ikke har brug for oplysningerne længere, skal de derefter slettes.

Korrekthed

De personoplysninger virksomheden bruger om f.eks. sine kundeklubmedlemmer skal gerne være korrekte og ajourførte. Jeg tænker, at der er mange tilfælde, hvor kundedatabaser er fyldt med forkerte emailadresser og navne, fordi de registrerede kunder skifter email og opgiver et fiktivt navn. Det kan der være flere grunde til bl.a. at kunden ikke ønsker at virksomheden skal kende deres sande identitet. Det kan være ret ressourcekrævende, hvis man konstant skal sikre en høj datakvalitet. Bør virksomheden afsætte ressourcer til konstant at opdatere kundedata, hvis de vil leve op til forordningen?

Bent: Forordningen lægger op til, at man skal opdatere sine persondata, hvis forholdene omkring den registrerede ændrer sig. Virksomheden har også selv en interesse i at have rigtige og brugbare persondata. Det er dog uforholdsmæssigt svært i de fleste tilfælde at holde en stor database opdateret – og ofte kan det være umuligt at opdatere vedkommendes nye emailadresse, da denne oplysning typisk ikke er tilgængelig for den dataansvarlige.

En måde at sikre oplysningernes korrekthed på mht. en kundeklub kunne være, at kunden har mulighed for at logge ind og på en nem måde selv ændre sine oplysninger.

Tidsbegrænsning

Personoplysninger må ikke længere opbevares på ubestemt tid, da den registrere har ret til at blive glemt. Personoplysninger må ikke længere opbevares på ubestemt tid, da den registrere har ret til at blive glemt. Kan jeg være i en situation, hvor jeg skal indhente et nyt samtykke, hvis de data jeg allerede har indsamlet er mere end et halvt år gamle. Eller mere specifikt hvor længe må man egentlig beholde og bruge de oplysninger man har indsamlet om sine webshop-besøgende eller sine kundeleads?

Bent: I den periode der er et kontraktforhold, må man gerne beholde personoplysningerne. Derefter skal virksomheden overveje at slette oplysningerne inden for en rimelig periode. Der er desværre ikke fastsat en grænse for hvor længe der skal gå før oplysningerne skal slettes. Det kan være et halvt år, to år, fem år, 30 år osv. alt afhængig af de konkrete omstændigheder. .

Det vigtige er, at holde sig for øje, er, at når det ikke længere er nødvendigt at opbevare oplysningerne, skal de slettes. Hvis man har solgt noget til en kunde, kan det være nødvendigt at gemme oplysninger efter salget er slut for at sikre sig i tilfælde af en retlig konflikt om fx produktets kvalitet. Når et evt. krav må anses for forældet, bør man under alle omstændigheder slette oplysningerne, da det ikke længere er nødvendigt at have dem.

Det er også vigtigt at huske, at man skal have et retligt grundlag for opbevaringen. Indsamlingen af oplysninger for at gennemføre et salg kan have det retlige grundlag at gennemføre en kontrakt. Den efterfølgende opbevaring som i ovenstående eksempel, kan derimod begrundes i en legitim interesse i at gardere sig i tilfælde af en retstvist.

Kan man sige, at der er et kontraktforhold, hvis en kunde har tilmeldt sig et nyhedsbrev, og jeg løbende udsender nyhedsmails til kunden, og kunden ikke aktivt afmelder sig mit nyhedsbrev? I så fald, kan jeg så slippe for jævnligt at indhente samtykke fra mine nyhedsbrevsmodtagere?

Bent: Nej, dette er ikke et kontraktbaseret forhold i persondataforordningens forstand, så der skal man bruge et andet retsgrundlag, fx et samtykke. Man er desuden forpligtet til at indhente et samtykke efter markedsføringsloven, hvis man vil sende et nyhedsbrev ud, så det er umuligt at undgå at indhente samtykke.

Et samtykke efter markedsføringsloven har ikke en udløbsdato (medmindre andet fremgår af samtykket). Samtykket gælder, indtil det trækkes tilbage igen. Dog anser forbrugerombudsmanden et samtykke for forældet, hvis man ikke har sendt et nyhedsbrev ud inden for det seneste år. Herefter skal der indhentes et nyt samtykke. På forbrugerombudsmandens hjemmeside kan man finde en meget udførlig guide om, hvad man skal gøre for, at ens nyhedsbrev ikke anses som uanmodet markedsføring (spam).

Læs guiden her.

Proportionalitet og relevans

Proportionalitetsprincippet og relevans har vi været inde på tidligere. Det handler om, at virksomheden ikke må indsamle flere persondata end hvad den reelt har brug for, for at fortage en behandling. Man kan altså ikke bare indsamle flere data end nødvendigt, fordi det kunne være rart at have dem til senere brug.

Du kan få genopfrisket Bents beskrivelse af proportionalitetsprincippet her. 

Spørg eksperterne om EU persondataforordningenNæste gang tager vi fat på behandlingsbetingelser. Det bliver virkelig interessant, at høre Bents svar, når jeg stiller spørgsmål om en af betingelserne, nemlig samtykke. De fleste digitale marketing medarbejdere arbejder allerede med samtykke, men ikke desto mindre er det netop heromkring, jeg fornemmer en stor usikkerhed i forhold til persondataforordningen og anvendelse af personoplysninger i den digitale markedsføring.

Har du spørgsmål til behandlingsprincipper, så skriv endelig en kommentar til blogindlægget.

*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.

Tinne Bering

Tinne Bering rådgiver virksomheder om digital strategi og markedsføring. På eNavigates blog skriver hun faglige blogindlæg om digital markedsføring og trends.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.