GDPR går i luften i dag

Men mange har overfortolket behovet for fornyet samtykke. Har du også?

I dag træder GDPR i kraft over det meste af Europa. Jeg er personligt druknet i e-mails de sidste 3 uger fra leverandører, som med afsæt i GDPR og 25. maj vil have mit fornyede samtykke til behandling af mine persondata. Hører de ikke fra mig, vil jeg blive slettet af deres mailinglister. Selv min sportsmassør mener, at jeg skal bekræfte brugen af mine data inden 25. maj, ellers vil de ikke kunne sende mig nyheder og markedsføringsmateriale.

Men hov, kræver det overhovedet samtykke at behandle persondata til markedsføring? Næh, det gør det faktisk ikke, så længe der er tale om kategorien almindelige personoplysninger (navn, adresse, e-mail, telefon, købshistorik osv.). Markedsføring falder inden for begrebet legitim interesse, som kan anvendes som behandlingsgrundlag i stedet for samtykke.

Jeg har ikke afgivet nogen helbredsoplysninger hos min sportsmassør (følsomme personoplysninger). Der er alene tale om navn, adresse, e-mail, telefonnummer og et kodeord til login. Men for pokker: Hvad nu hvis kun 20 % af kundekredsen bekræfter samtykket til behandling af data? Så mister sportsmassøren kontakten til 80 % af kundeunderlaget, som hidtil har været kommunikeret smertefrit til via e-mail.

Det mange overser – og sammenblander – i disse dage er hvilke lovgivninger, der regulerer hvad i forhold til samtykke. Lad os lige præcisere hvilke lovgivninger der er i spil:

  1. Markedsføringsloven. Hvis du vil kommunikere pr. e-mail, SMS eller andre elektroniske kanaler til en person (private forbrugere såvel som erhvervspersoner), kræver det som hovedregel samtykke. Ikke til markedsføring i sig selv, men til brug af elektroniske kanaler.
  2. Forbrugeraftaleloven. Hvis du vil ringe uopfordret til en privat forbruger, kræver det samtykke, med mindre du tilhører en branche, som er undtaget af dørsalgsloven (fx forsikring og aviser).
  3. Persondatalovgivning (GDPR). Hvis du alene vil behandle kategorien almindelige personoplysninger til markedsføring, kræver det ikke samtykke. Det kræver derimod, at du opfylder den såkaldte oplysningspligt. Det er et af de helt centrale punkter i GDPR. Og den kan løses ved at henvise til persondatapolitikken på din virksomheds hjemmeside.

Tilbage til min sportsmassør. Jeg HAR givet samtykke til, at de må sende mig e-mails. Altså er det en helt overflødig handling, at jeg skal bekræfte mit samtykke. Det kan sætte hele forretningsgrundlaget over styr. Det de imidlertid burde have gjort, var at sende mig en e-mail, hvori de henviser til deres opdaterede persondatapolitik (som er tilpasset kravene i GDPR). Så har de opfyldt deres oplysningspligt, og jeg kan i ro og mag selv læse, hvad de bruger mine data til, hvor længe de opbevarer dem, min ret til indsigt, sletning, klage osv. I samme mail skulle de have give mig mulighed for at afmelde mit samtykke til markedsføring pr. e-mail.

Har du brug for rådgivning, eller en snak om hvordan du griber samtykke og oplysningspligten an, så kontakt Henrik Hobel på [email protected] eller ring på 21913949. Du kan også læse vores persondatapolitik og se, hvordan vi hos Ambition informerer om brugen af personlige data.

PS: Jeg tror lige jeg tager en snak med min sportsmassør inden de lukker klinikken…

Henrik Hobel

Henrik Hobel

CTO og partner, Ambition
Henrik Hobel