Datatilsynet giver påbud om at slette ”nej-tak liste”

Det var ikke lovligt, at en virksomhed opbevarede oplysninger om personer, der havde trukket deres samtykke tilbage, i 5 år for at undgå at markedsføre sig over for disse personer og for at kunne dokumentere samtykkerne.

Datatilsynet indledte efter en henvendelse fra Forbrugerombudsmanden en sag mod en virksomhed, der ved brug af konkurrencer indhentede forbrugeres samtykke til direkte markedsføring og til behandling og videregivelse af personoplysninger til en række andre virksomheder.

Sagen behandler flere interessante juridiske spørgsmål vedr. indhentelse af samtykke til direkte markedsføring, videregivelse af personoplysninger med henblik på direkte markedsføring og behandling af personoplysninger i den forbindelse.

For overskuelighedens skyld, gennemgår vi i denne artikel kun spørgsmålet om anvendelse af suppression-lister og opbevaring af dokumentation for samtykke til markedsføring og behandling af personoplysninger.

Nej-tak listen

Virksomheden opbevarede telefonnummer og e-mailadresse på personer, der har trukket deres samtykke tilbage, i 5 år med det formål at undgå anvendelse af et samtykke, der er tilbagekaldt, og at forhindre anvendelse af falske samtykker.

Datatilsynet udtalte, at det var en unødvendig behandling af personoplysninger, som ikke var i overensstemmelse med princippet om dataminimering. Der var heller ikke hjemmel i interesseafvejningsreglen til at opbevare oplysningerne med det formål, når samtykket var trukket tilbage.

Datatilsynet udtalte alvorlig kritik af denne behandling af personoplysninger og påbød virksomheden at slette listen, bortset fra de tilfælde, hvor det var nødvendigt at opbevare dokumentation for samtykket for en sandsynlig eller konkret tvist.

Opbevaring af dokumentation for samtykke

Virksomheden opbevarede kontaktoplysninger, IP-adresse og timestamp i 5 år efter, at et samtykke var givet. Formålet med opbevaringen var at kunne dokumentere samtykket, hvis der skulle blive indgivet en klage til Datatilsynet. Opbevaringsfristen var fastsat ud fra, at strafansvaret efter GDPR forældes efter 5 år.

Datatilsynet udtalte, at virksomheden skal være i stand til at dokumentere samtykket, mens behandlingen af personoplysninger finder sted, men at opbevaring i 5 år er for lang tid. Det er ikke i overensstemmelse med princippet om opbevaringsbegrænsning.

Datatilsynet har ikke – ligesom Forbrugerombudsmanden - fastsat en periode, hvor dokumentationen bør opbevares. Virksomheden må efter en konkret vurdering afgøre, hvor længe dokumentationen bør opbevares. I den forbindelse kan der lægges vægt på, hvor længe efter behandlingen af personoplysninger det er sandsynligt, at der kan komme en klage.  Efter Datatilsynets vurdering vil det være i en meget begrænset periode. Er der indgivet en klage, kan opbevaringsperioden forlænges.

Forbrugerombudsmanden

Forbrugerombudsmanden oplyser i sin ”spamvejledning” pkt. 11.3., at et samtykke til markedsføring bør opbevares i 2 år efter, at den sidste elektroniske markedsføring er sendt. De 2 år er begrundet i, at strafansvaret efter markedsføringsloven forældes efter 2 år.

Læs afgørelsen fra Datatilsynet her