Her er fem tegn på at kundeklubben din kan ha et personvernproblem:
1. Kundene samtykker til alt på én gang
Dersom innmeldingen i kundeklubben innebærer at kunden gir ett samtykke som dekker alt fra nyhetsbrev til profilering og personalisert markedsføring, har du sannsynligvis et samtykke som ikke er tilstrekkelig spesifikt.
Personvernforordningen krever at samtykke skal være spesifikt. Det betyr ikke at du trenger et eget avkrysningsfelt for enhver tenkelig aktivitet, men der behandlingen skjer for vesentlig forskjellige formål, må kunden kunne velge.
Varsellampen bør lyse dersom: En kunde ikke kan melde seg inn i kundeklubben og motta grunnleggende basisfordeler uten samtidig å akseptere all form for markedsføring og profilering.
2. Du deler kundelister med annonseplattformer uten eget grunnlag
Mange virksomheter bruker verktøy hvor kundelister matches med annonseplattformens kundeliste for å målrette annonser. Dette er en viderebehandling av personopplysninger som krever et selvstendig rettslig grunnlag.
Du trenger enten et nytt, spesifikt samtykke som dekker denne bruken, eller en dokumentert forenelighetsvurdering etter GDPR artikkel 6 nr. 4. Vær oppmerksom på at Datatilsynet har lagt til grunn at berettiget interesse normalt ikke kan brukes som grunnlag for viderebehandling når opplysningene opprinnelig ble samlet inn basert på samtykke fordi målet med samtykke er at den registrerte skal kunne forutse konsekvensene og gjøre et informert valg.
Varsellampen bør lyse dersom: Du bruker verktøy for matching av kundelister uten at dette er dekket av et eget samtykke eller en skriftlig forenelighetsvurdering.
3. Interesseavveiningen din er en formalitet
Der du bruker berettiget interesse som behandlingsgrunnlag, krever GDPR artikkel 6 nr. 1 bokstav f at du gjennomfører en reell avveining mellom virksomhetens interesser og de registrertes rettigheter og friheter. En slik vurdering må være mer enn en kort setning om at «virksomheten har en berettiget interesse i markedsføring som veier tyngre enn de registrertes interesser».
Du må kartlegge konsekvensene for de registrerte, vurdere inngrepets omfang og dokumentere hvorfor virksomhetens interesse veier tyngre. Uten denne kartleggingen foreligger det ifølge Datatilsynet ingen reell interesseavveining.
Varsellampen bør lyse dersom: Det ikke kan fremlegges en skriftlig interesseavveining for behandlingsaktiviteter som baserer seg på berettiget interesse, særlig når personopplysninger deles med tredjeparter.
4. Du bruker for lang tid på rettighetsforespørsler
Personvernforordningen gir de registrerte rett til innsyn, retting, sletting, dataportabilitet og mer. Forespørsler skal besvares uten ugrunnet opphold og senest innen én måned. For virksomheter med store kundemasser og komplekse IT-systemer kan dette være krevende, men det fritar ikke fra plikten.
Manglende eller forsinket håndtering av rettighetsforespørsler er et selvstendig brudd på personvernforordningen og kan alene gi grunnlag for overtredelsesgebyr.
Varsellampen bør lyse dersom: Det ikke er etablerte rutiner, tydelig ansvarsfordeling og tekniske løsninger som sikrer rettidig besvarelse av rettighetsforespørsler, også i perioder med høyt volum.
5. Du lener deg på at «alle andre gjør det samme»
Bransjepraksis er ikke et forsvar mot overtredelsesgebyr. Datatilsynet har uttalt at virksomheter som bevisst velger samtykke- og behandlingsløsninger med kjente juridiske risikoer, kan bli møtt med skjerpet ansvar. At løsningen er vanlig i bransjen, eller at den er anbefalt av en markedsføringsplattform, endrer ikke de rettslige kravene.
Varsellampen bør lyse dersom: Den viktigste begrunnelsen for dagens løsning er at konkurrentene gjør det på samme måte.
Hva bør du gjøre?
Dersom du kjenner deg igjen i ett eller flere av punktene over, anbefaler vi å gjennomføre en systematisk gjennomgang av samtykke- og rettighetshåndteringen i kundeklubben, fra samtykkeflyt og behandlingsgrunnlag til rutiner for rettighetshåndtering og dokumentasjon. Prioriter de mest kritiske risikoområdene først, og sørg for at vurderingene dokumenteres skriftlig.
Datatilsynets vedtak signaliserer at personvern i kundeklubber er et prioritert tilsynsområde. Tiden for å handle er nå.