Det britiske datatilsynet ICO er på krigsstien mot elektronisk markedsføring. Hittil i år har det bøtelagt Honda, et flyselskap, samt flere banker og markedsføringsselskaper for å ha direkte kontaktet forbrukere uten tilstrekkelig forhåndssamtykke. EU har foreslått strengere regler som vil bli harmonisert i hele EU og EØS. Praksisen det slås ned på er trolig i omfattende bruk i Norge. Strengere håndheving og krav til elektronisk markedsføring er noe de fleste norske selskaper må forberede seg på.
EUs såkalte «eprivacy»-forordning er planlagt implementert 25. mai 2018, samtidig som
den nye personvernforordningen GPDR. Kravet til forhåndssamtykke for elektronisk
markedsføring er planlagt videreført slik det står i dagens markedsføringslov, men
kravene til gyldig samtykke skjerpes samtidig som det er foreslått at Datatilsynet skal
overta som håndhevende organ.
Det er dermed grunn til å tro at håndheving av elektroniske markedsføringshenvendelser
vil bli lagt på samme strenge linje som behandling av personopplysninger, samtidig som
reglene vil være harmonisert gjennom hele EU og EØS. Praksisen fra ICO vil dermed også
være relevant for hvordan dette skal håndheves i Norge, også før innføringen av GDPR og
«eprivacy».
Tidligere denne måneden ble den engelske banken Vanquis Bank bøtelagt for å ha sendt
870.849 tekstmeldinger og 620.000 eposter som markedsførte bankens
kredittkorttjenester. Banken benyttet seg av kundelister den hadde kjøpt fra andre
organisasjoner, og hadde dermed belaget seg på et indirekte samtykke fra den enkelte
forbruker som ikke tilfredsstilte lovens krav. Samtykkene var innhentet av et annet
selskap og inneholdt generiske formuleringer som at kontaktopplysningene kunne bli
utlevert til «trusted parties» og «carefully selected third parties». Ifølge ICO var ikke dette
tilstrekkelig spesifikt til at banken kunne få kundelisten utlevert.
Tendensen i den siste rekken av saker fra England er tydelig. Brede og altomfattende
samtykker som bakes inn i en generisk samtykketekst tilfredsstiller ikke lovens krav til
samtykker. I en uttalelse sier ICO at «forbrukere må være informert om hva de samtykker
til. En generell uttalelse om at deres kontaktinformasjon vil bli delt med «lignende
organisasjoner» eller «utvalgte tredjeparter» er ikke tilstrekkelig for at samtykket er
gyldig».
Markedsføringshenvendelser er viktig for alle selskaper som retter seg mot
forbrukermarkedet, og mange selskaper ønsker å dele kundelister for å nå ut til flere.
Samtidig observerer vi at det blir stadig vanligere med fordelsprogram og kundeklubber
hvor flere selskaper går sammen om å dele og utlevere personopplysninger. Med
skjerpede regler for å innhente samtykker både i personvernretten og
markedsføringsretten kan det fort bli kostbart om dette ikke gjøres riktig fra starten av.
Eprivacy legger opp til et tilsvarende bøtenivå som GDPR, med opptil 10 millioner euro
eller to prosent av selskapets globale omsetning som potensiell bot.
Forbrukere skal tydelig informeres om hvilke opplysninger som innhentes, hvem
opplysningene skal utleveres til og for hvilket formål. Det vil ikke lenger være tilstrekkelig
med sekkeposter som indikerer at kontaktopplysninger vil bli delt med «utvalgte
tredjeparter» eller «andre selskaper i konsernet». I dag håndheves reglene i
markedsføringsloven av Forbrukerombudet, men for bestemmelsene som vedrører
elektronisk markedsføring, er det som nevnt over, foreslått at Datatilsynet skal ta over.
Vår erfaring tilsier at Datatilsynet først og fremst ser på organisasjonsnumre fremfor
konserntilhørighet, og at betegnelsen «andre selskaper i konsernet» dermed i seg selv
ikke vil ikke nødvendigvis tilfredsstiller krav til samtykke. Samtykker skal altså deles opp
etter hvem opplysningene utleveres til og for hvilket formål. Som forbruker skal du ha rett
til å akseptere hvilke selskaper som kan og ikke kan motta dine kontaktopplysninger.
Selskaper som i dag belager seg på å kjøpe kundelister uten å forsikre seg om at listen er
bygget på godkjente samtykker pådrar seg en enorm økonomisk risiko.
Denne artikkelen har vært publisert i DN 18.12.17.
