Datatilsynet har uppmanat Smartere Utdanning AS att förbättra den lösning de har för att hämta in ett samtycke, så att det uppfyller kraven i dataskyddsförordningen (“GDPR”).
Bakgrunden till ärendet är ett klagomål från en individ, som reagerat på att hon fått reklam från Smartere Utdanning på Facebook och e-post. Den klagande, som tidigare köpt en kurs från företaget, ansåg att reklamen skickades utan att hon lämnat sitt samtycke till detta. Marknadsföringen fortsatte trots att klaganden upprepade gånger bett Smartere Utdanning att radera hennes personuppgifter.
Smartere Utdanning har anfört att alla som köpt företagets tjänster automatiskt samtyckt till marknadsföring på Facebook och via e-post. Enligt Smartere Utdanning har klaganden därför samtyckt till marknadsföringen i samband med att hon köpte en kurs, något som angetts i företagets integritetspolicy.
Enligt Datatilsynet marknadsför Smartere Utdanning sig på e-post och på Facebook via så kallade “målgrupper” (Facebook Custom Audiences). Genom att ladda upp kundlistor till Facebook kan den sociala plattformen matcha listorna mot befintliga Facebook-profiler och rikta annonser direkt till dem.
Enligt Datatilsynet bryter det mot gällande lagstiftning att hämta in ett samtycke på detta sätt då GDPR kräver att ett samtycke är frivilligt och specifikt till behandling av personuppgifter (jfr artikel 4.11 GDPR). En registrerad måste således kunna välja om marknadsföring godkänns eller inte när denne köper en tjänst. Enligt Datatilsynt bör till exempel en registrerad ha möjlighet att samtycka till en typ av marknadsföring via e-post, utan att samtidigt behöva samtycka till marknadsföring på Facebook.
På grundval av detta har Datatilsynet beordrat Smartere Utdanning att ändra hur de hämtar in ett samtycke, så att detta görs i enlighet med kraven i GDPR. Företaget uppmanas också att radera samtliga personuppgifter om den klagande.
Smartere Utdanning har tre veckor på sig att överklaga Datatilsynets beslut.