Artikel i forbindelse med udsendelse af nyhedsmail onsdag den 9. august 2023.

Bonnier News AB casen– 13 mio SEK

Samtidigt med udgivelsen af Datatilsynets nye vejledning om direkte markedsføring landede der en afgørelse fra det svenske datatilsyn, IMY, der handler om netop markedsføring. Bonnier News AB fik en bøde på 13 mio SEK for at have indsamlet og behandlet data om deres kunder og internetbrugere uden korrekt behandlingshjemmel.

Samkøring

Bonnier News AB har en fælles kundedatabase på tværs af de mange forlagsvirksomheder i Bonnier-koncernen samt en fælles database med informationer (indsamlet vha. cookies) om de enkelte koncernvirksomheders hjemmesidebesøgende og deres adfærd.

Bonnier News AB samkører de to databaser og skaber, så vidt det er muligt, ”kompletterede profiler”, som består af henholdsvis kundeoplysninger og købshistorik kombineret med personens adfærd på koncernvirksomhedernes hjemmesider. De tilføjer også oplysninger fra en dattervirksomheds registre om de registreredes livsfase, købekraft, boligform og eventuelt bilejerskab. Profilerne anvendes til direkte markedsføring, inkl. personaliserede annoncer til visning på koncernvirksomhedernes hjemmesider. Behandlingen udgør decideret profilering.

Legitim interesse eller samtykke

IMY tog stilling til det lovlige grundlag for Bonnier News ABs profilering mhp. målrettet annoncering. Bonnier mente den korrekte behandlingshjemmel var legitim interesse. IMY påpeger i afgørelsen, at når det gælder oplysninger, som den registrerede aktivt og velvidende har afgivet, kan både samtykke og legitim interesse anvendes som behandlingsgrundlag.

Brugerne af koncernvirksomhedernes hjemmesider havde generelt givet samtykke til cookies og den indsamling, der sker derved. Når det drejer sig om observationsdata (her indsamlet vha. cookies) kan legitim interesse imidlertid ikke anvendes, hvis behandlingen udgør en profilering af personer – og deres adfærd – på tværs af hjemmesider og andre steder (kundedatabasen samt datterselskabets registre).

Interesseafvejningens momenter

Fordi Bonnier angav, at de behandlede oplysningerne på baggrund af en legitim interesse, valgte IMY at efterprøve om kriterierne for en legitim interesse var opfyldt.

1. Der skal, for det første være en virkelig interesse – her den kommercielle interesse i tilpassede annoncer, og den konstaterer IMY, at Bonnier har.
2. Behandlingen skal dernæst være nødvendig for at opnå interessen – også her finde IMY at profileringen er nødvendig for at vise tilpassede annoncer.
3. Til sidst skal virksomhedens interesse opvejes imod de registreredes interesse, og selvom Bonnier selv mener, at deres annonceindtægter vejer tungt, og at de registrerede må have interesse i et godt tilbud, så vurderer IMY, at de registrerede ikke med rimelighed må forvente, at deres oplysninger bliver samkørt, analyseret og profileret på så omfattende måde, som de bliver. Derfor falder interesseafvejningen ud til de registreredes fordel, og Bonnier skulle have indhentet samtykke i stedet.

Afgørelsen er i god tråd med Datatilsynets vejledning om direkte markedsføring og illustrerer det omfattende arbejde, man som dataansvarlig skal gøre ved behandlingen af persondata til markedsføringsmæssige formål.  Afgørelsen viser også, at man skal være varsom med at sammenkøre datasæt og databaser.

Særligt kan vejledningens afsnit 2.5 omhandlende profilering sammenholdes med afgørelsen. Afsnittet understreger, at hvis der er tale om en omfangsrig behandling, hvormed der tegnes et mere omfattende billede af de registrerede, så vil det korrekte behandlingsgrundlag være et samtykke.

 Læs selve afgørelsen her.

Criteo casen – 40 mio Euro

Den franske virksomhed, Criteo – et reklamefirma, der leverer online displayannoncer – har fået en bøde på 40 mio. Euro for manglende samtykke til behandlingen af persondata.

Criteo lever af, at vise sine virksomhedskunders reklamer til de internetbrugere, hvor det vil skabe størst muligt salg – målrettet reklame. Det gøres ved at tracke brugernes adfærd på internettet, inkl. køb i webshops, og profilere dem. Profilering kræver altid samtykke, og et samtykke skal bl.a. være informeret for at være gyldigt.

Det franske datatilsyn, CNIL, modtog i 2018 en klage over at Criteo tracker og profilerer internetbrugere uden gyldigt samtykke. CNIL konstaterede, at Criteo ikke kunne dokumentere, at de registrerede havde givet deres samtykke. Criteo havde heller ikke til fulde oplyst de registrerede om, hvordan deres oplysninger ville blive behandlet eller til hvilket formål. Ved klageres henvendelse om indsigt, havde Criteo ikke oplyst dem fyldestgørende eller tydeligt nok om, hvilke oplysninger de lå inde med, og de havde heller ikke efterkommet henvendelser om tilbagetrækning af samtykke eller krav om sletning. Criteo havde heller ikke aftaler på plads til at regulere ansvarsfordelingen mellem Criteo og de selskaber, de har fælles dataansvar med, dvs. deres virksomhedskunder.

Selvom Criteo ikke har internetbrugernes navne, vurderede CNIL, at det ville være muligt at re-identificere mange af de millioner af brugere, når blot der var tilstrækkeligt information om dem.

Det viser, hvor vigtigt det er, at virksomheder, der reklamerer på nettet, er opmærksomme på at dokumentere samtykke korrekt, samt at overholde oplysningspligten i tilstrækkelig grad, så samtykket også vil være gyldigt.

Fordi de registrerede i Criteos databaser ikke begrænser sig til franske borgere, har CNIL rådført sig med alle de andre Datatilsyn i EU og har fået deres godkendelse af afgørelsen.

Afgørelsen kan læses her i sin fulde længde.