Datatilsynet anser att det finns skäl att framföra kritik mot att SmartResponse A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet inlett en granskning av SmartResponses behandling av personuppgifter efter en begäran från konsumentombudsmannen. Ärendet gällde bland annat SmartResponses utlämnande av personuppgifter i samband med att företaget erbjudit tävlingar på internet och frågeformulär som användes i samband med detta.
I sitt beslut har Datatilsynet tagit ställning till ett antal frågor som är relevanta för personuppgiftsansvarigas behandling av personuppgifter för marknadsföringsändamål.
För att delta i internettävlingen har deltagarna gett sitt samtycke till att SmartResponse behandlar uppgifter om dem och att SmartResponse lämnar ut uppgifterna till sina affärspartner. Datatilsynet ansåg att det samtycke som SmartResponse fått var förenligt med dataskyddsreglerna. Samtyckets struktur gav dock Datatilsynet anledning att överväga om kravet på frivillighet, inklusive kravet på att samtycket ska kunna särskiljas från andra frågor, var uppfyllt eftersom SmartResponse samlat in personuppgifter för eget bruk samt lämnat ut uppgifterna till sina affärspartners direktmarknadsföring.
SmartResponse erbjöd även deltagarna i internettävlingen att fylla i ett frågeformulär för att skräddarsy marknadsföringen efter individens personliga behov. Uppgifterna i frågeformuläret lämnades ut till samarbetspartnerna på grundval av artikel 13.2 GDPR. Med anledning av kommentarer från SmartResponse ansåg Datatilsynet att det fanns anledning att bedöma huruvida avsnitt 13 GDPR är förenlig med artiklarna 6.2 och 6.3 GDPR.
Datatilsynet konstaterade att det är tveksamt om artikel 13 GDPR faller inom ramen för vad som tillåts enligt artiklarna 6.2 och 6.3 GDPR. Datatilsynet tillämpade därför inte artikel 13 GDPR i detta fall, utan bedömde i stället om SmartResponses behandling kan baseras på en intresseavvägning enligt artikel 6.1 (f) GDPR. Enligt Datatilsynet var uppgifterna i frågeformuläret emellertid alltför detaljerade för att offentliggöras med stöd av en intresseavvägning och att det därför istället krävdes ett samtycke.
SmartResponse har vidare uppgett att företaget lagrar uppgifter för att bevisa att ett erhållet samtycke är giltigt. Enligt Datatilsynet får personuppgifter behandlas i syfte att visa att ett samtycke är giltigt medan behandlingen pågår. Om behandlingen upphör ska de berörda uppgifterna normalt raderas. Uppgifterna kan dock fortsätta att sparas under en begränsad tid för att avgöra om en specifik tvist föreligger eller uppstår.
SmartResponse menade också att när samtycket drogs tillbaka registrerades deltagarens telefonnummer och e-postadress i en förteckning över personer som inte fick ta emot uppgifter. Datatilsynet ansåg att SmartResponse utförde en onödig behandling av personuppgifter med hjälp av förteckningen, vilket inte är förenligt med principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR och reglerna om intresseavvägning enligt artikel 6.1 (f) GDPR. Datatilsynet kritiserade därför allvarligt företagets behandling av uppgifterna i förteckningen och beordrade SmartResponse att radera uppgifterna.
SmartResponse har därutöver angett att lagringsperioden för uppgifterna var fem år i enlighet med gällande preskriptionstider. I detta sammanhang ansåg Datatilsynet att en lagringsperiod på fem år inte är förenlig med principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
Slutligen menade SmartResponse att deltagarna omdirigerats till företagets personuppgiftspolicy via en länk som tillhandahölls av internettävlingen och att deltagarna därmed fått den information som krävs enligt dataskyddsförordningen. Datatilsynet ansåg dock att deltagarna inte fått tillräcklig information om SmartResponses behandling av personuppgifter, eftersom deltagarna inte fått tillräcklig information om att SmartResponse fortsatte att lagra personuppgifter efter det att samtycket återkallades.
Sammanfattningsvis ansåg Datatilsynet att det finns skäl att framföra kritik mot att SmartResponse inte i tillräcklig utsträckning har följt reglerna i dataskyddsförordningen.