Afgørelse om behandling af personoplysninger i markedsføringsøjemed giver Datatilsynet anledning til at revurdere en række forhold i en ny vejledende tekst, der omhandler opbevaring af personoplysninger.
26. januar 2023 | IMMATERIALRET
Datatilsynet har for nyligt taget stilling til en række forhold om behandling af personoplysninger, som kan have betydning for dig som dataansvarlig. Herunder hvordan du fremadrettet behandler personoplysninger til markedsføring.
Når den registrerede trækker sit samtykke tilbage
Opbevaring af personoplysninger kræver samtykke i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a, og er ét af flere mulige behandlingsgrundlag for at lovlig behandling kan finde sted. Samtykket skal være afgivet ved en frivillig, specifik informeret og utvetydig viljeserklæring. Den registrerede skal I øvrigt, til enhver tid, kunne trække sit samtykke tilbage. Hvis samtykket tilbagekaldes, har den registrerede ret til at få slettet sine personoplysninger uden unødig forsinkelse jf. forordningens artikel 17, stk. 1, litra b.
Den dataansvarliges ansvar
Man skal som dataansvarlig kunne påvise, at samtykket er givet til behandling af den registreredes personoplysninger. Ligeledes skal det kunne påvises, at man overholder krav om dataminimering og opbevaringsbegrænsning.
Det er desuden vigtigt, at man som dataansvarlig kan dokumentere det indhentede samtykke, mens behandlingen af personoplysningerne foregår. Ophører behandlingen af personoplysningerne som samtykket har givet anledning til, skal oplysningerne slettes ved ophøret, jf. forordningens artikel 5, stk. 1, litra e og artikel 17, stk. 1, litra b.
Opbevaring af personoplysninger i forbindelse med en internetkonkurrence
Den tidligere omtalte afgørelse vedrørte en sag fra 30.09.2022, hvor virksomheden SmartResponse stod bag en internetkonkurrence. De registreredes deltagelse i konkurrencen var betinget af et samtykke, der medgav, at SmartResponse kunne behandle deltagernes personoplysninger, samt viderebehandle disse personoplysninger efter konkurrencens ophør.
Man kunne som deltager læse sig frem til virksomhedens persondatapolitik og dennes regler for opbevaring af personoplysninger, ved at klikke videre på et link via internetkonkurrencen.
Skulle den registrerede på et senere tidspunkt trække sit samtykke tilbage, blev dennes telefonnummer og e-mailadresse registreret på en ’Nej-tak’ liste.
SmartResponse oplyste i den forbindelse, at de efterfølgende opbevarede disse personoplysninger på ’nej-tak’ listen, for at kunne dokumentere gyldigheden af et indhentet samtykke, mens behandlingen stod på og at de derfor opbevarede personoplysningerne i 5 år jf. forældelsesfristen i databeskyttelsesloven.
Datatilsynet vurderede, at de registrerede ikke modtog fyldestgørende information vedrørende opbevaringen af deres personoplysninger, og bemærkede i øvrigt, at SmartResponse fortsat behandlede personoplysninger, efter et samtykke var trukket tilbage. Det var derfor Datatilsynets vurdering, at den fortsatte behandling af de registreredes personoplysninger var unødvendig og ikke i overensstemmelse med principperne om interesseafvejningsreglen og dataminimering.
Hvad skal du som dataansvarlig være særlig opmærksom på?
Såfremt din virksomhed indsamler og behandler data fra besøgende på din hjemmeside, skal du som dataansvarlig sikre dig, at virksomhedens samtykkeløsning lever op til databeskyttelsesforordningens krav.
Når man indsamler personoplysninger, skal man være transparent omkring, hvilke formål oplysningerne skal anvendes til, og dernæst begrænse opbevaringen af oplysningerne til alene at omfatte de oplysninger, der er nødvendige for at opfylde formålet. Når det ikke længere er nødvendigt at behandle personoplysningerne, skal de slettes.
Det fremgår af den nye vejledning, at det ikke er tilstrækkeligt at opbevare oplysninger ’for en sikkerheds skyld’, og generelle forældelsesfrister kan ligeledes ikke i sig selv begrunde, at man ikke sletter personoplysninger. Datatilsynets afgørelse i SmartResponse-sagen viser således, at en opbevaringsperiode på 5 år i henhold til forældelsesfristen i databeskyttelseslovens § 41, ikke stemmer overens med nødvendighedskravet i forordningens artikel 5, stk. 1, litra e.
Har du brug for vejledning?
Ønsker du at vide mere om behandling af personoplysninger, samt sikre dig at din virksomhed lever op til de krav, der stilles til dig som dataansvarlig, er du velkommen til at kontakte en af TVC Advokatfirmas specialister på området. Vi sidder altid klar til en uforpligtende drøftelse af din konkrete case.