PrivatErhverv
Jylland
Sjælland
Bornholm

Nye persondataregler har konsekvenser for virksomheders e-mailmarkedsføring

Hvis din virksomhed bruger e-mailmarkedsføring, gør du klogt i at sætte dig godt ind i de nye regler om persondata. Du skal især være opmærksom på de skærpede krav til samtykke og oplysningspligt.

Fra d. 25. maj 2018 får den nye persondataforordning virkning, og på samme tidspunkt træder en ny databeskyttelseslov i kraft i stedet for den nuværende persondatalov. Udover disse to regelsæt skal du kende reglerne i markedsføringsloven, når du markedsfører din virksomhed via e-mails.

Advokat og specialist i persondata Trine Binderup Larsen fra Advodan i Aalborg guider dig gennem reglerne her.

 

Krav til samtykke

Markedsføringsloven stiller krav om, at du som erhvervsdrivende skal indhente samtykke fra dine modtagere, inden du må sende dem markedsføringsmaterialer via e-mail. I forbindelse med selve indhentningen af samtykket, er der en lang række krav, din virksomhed skal overholde, forklarer Trine Binderup Larsen.

Samtykkereglerne bliver skærpet med den nye persondataforordning. Det præciseres blandt andet, at et samtykke skal gives frivilligt, specifikt, informeret og utvetydigt. I praksis betyder det, at det skal være helt tydeligt for modtageren, hvordan han/hun afgiver et samtykke. Samtykket skal være formuleret i et klart og enkelt sprog, og det skal altid være et aktivt tilvalg. Forud-afkrydsede samtykkefelter er derfor ikke tilladte, ” siger hun og fortsætter:

”Det er heller ikke tilladt at indhente samtykke i en situation, hvor en person undlader at reagere og derved bliver forpligtet til at modtage e-mailmarkedsføring. Det samme gælder hvis samtykket er en betingelse for at få leveret en vare – fx en e-bog eller en fribillet til et arrangement.”

 

Oplysningspligt

Når persondataforordningen får virkning fra maj 2018, er der også nye krav til hvilke oplysninger, din virksomhed har pligt til at give jeres kunder/brugere, når I indhenter samtykke fra dem.

”I skal blandt andet oplyse om, hvordan I opbevarer og behandler de samtykkende personers personlige oplysninger som fx e-mailadresse, navn, adresse mv. i virksomheden. Samtidig bør I også sørge for, at adgangen til personoplysningerne ikke omfatter flere medarbejdere end højest nødvendigt,” påpeger Trine Binderup Larsen.

 

Husk dokumentation

Det kan godt være vanskeligt for en virksomhed at bevise, at der er indhentet et samtykke fra en person, hvis man ikke har fuldstændigt styr på sine procedurer.

”Når din virksomhed udsender elektroniske nyhedsbreve, skal I sikre jer, at der ligger en logfil i jeres nyhedsbrevssystem, som registrerer dato, tidspunkt og IP-adresse, når en ny abonnent tilmelder sig via en online formular. Og tilsvarende skal I have en logfil, der registrerer de samme oplysninger ved afmeldinger fra et nyhedsbrev. Har I styr på dette, vil I have jeres dokumentation for samtykker i orden,” siger Trine Binderup Larsen.

”Indhenter I ikke samtykker fra jeres kunder elektronisk, men i stedet gør det på skrift i en fysisk butik, på en messe eller lignende, er det vigtigt, at I opbevare disse samtykker som dokumentation i virksomheden, så længe det er relevant,” lyder rådet fra advokaten.

  

Hvad dækker samtykket?

Når din virksomhed først har indhentet samtykke fra en person, der har købt en vare eller en tjenesteydelse hos jer, må I ifølge markedsføringsloven gerne sende e-mailmarkedsføring, der vedrører såkaldte ’egne tilsvarende produkter’.

”Hvis en virksomhed eksempelvis har solgt garn til en kunde, kan strikkepinde, hæklepinde og strikkeopskrifter, som virksomheden selv sælger, kategoriseres som egne tilsvarende produkter,” forklarer Trine Binderup Larsen.

 

Tilbagekaldelse af samtykke

Det er også vigtigt, at det er nemt og gebyrfrit for en person at kunne tilbagekalde sit samtykke.

”Så snart din virksomhed har registreret, at et samtykke er blevet tilbagekaldt, skal I sørge for, at der ikke længere bliver fremsendt markedsføring via e-mail til den pågældende person. Her kan det være en stor hjælp at have et it-system, der understøtter dette, ” siger hun.

 

Husk databehandleraftale

Bruger din virksomhed en ekstern leverandører til e-mail-nyhedsbreve, skal du huske at udarbejde en skriftlig databehandleraftale med leverandøren.

”Aftalen skal indeholde oplysninger om, hvordan leverandøren opbevarer og håndterer personoplysningerne på dine nyhedsbrevsmodtagere. I sidste ende er det dig som dataansvarlig, der har ansvaret for, at oplysningerne opbevares i overensstemmelse med persondatalovgivningen, ” slutter Trine Binderup Larsen.

 

Læs mere om persondata her

18 kommentarer

Søren Jørgensen

Hej Trine Jeg har en online virksomhed, hvor jeg gennem årene har solgt mine varer til ca. 40-50.000 kunder i Danmark. Jeg har desværre aldrig haft tid til at sætte mig ind i at lave et nyhedsbrev til disse. Nu vil jeg gerne igang med at sende nyhedsbreve ud, men jeg har jo ikke samtykke fra alle disse eksisterende kunder, hvoraf rigtigt mange handler igen og igen. Nu er mit spørgsmål? Må jeg gerne kontakte alle disse eksisterende kunder med et spørgsmål kun om samtykke til at udsende et nyhedsbrev, hvis det udelukkende er en samtykkeerklæring jeg kontakter dem med og ingen markedsføring med tilbud osv. eller skal jeg til at starte helt forfra med at indsamle samtykkeerklæringer i min webshop! mvh Søren

Trine Binderup

Hej Søren Nej, du skal have indhentet et samtykke til at modtage markedsføring før der rettes henvendelse via e-mail. Et samtykke kan ikke lovligt indhentes ved, at man sender en mail med opfordring til at tilmelde sig et nyhedsbrev. For overholdelse af persondatareglerne er det derfor min anbefaling, at du i stedet indhenter et utvetydigt samtykke ved nye ordrer på hjemmesiden eller ved udfyldelse af en blanket. Dog må du gerne sende nyhedsbreve med markedsføring af lignende produkter, hvis du i forbindelse med et køb har fået mailadressen fra en kunde. I disse tilfælde skal du således ikke ’’starte forfra’’ som ovenfor.

Søren

Hej og tak for svar. Jeg sælger kun en produkttype nemlig blækpatroner og får altid kundens mail når de bestiller. Dvs. At jeg så lovligt kan sende mails om tilbud og nyheder til alle mine eksisterende kunder vedr. blækpatroner uden først at indhente samtykke som jeg forstår dit svar! Mvh Søren

Trine Binderup

Hej Søren Det er lovligt såfremt der er tale om markedsføring af egne tilsvarende produkter. Jeg vil umiddelbart mene, at du falder ind under dette. Vær dog særligt opmærksom på, at det forudsættes at du giver kunden klar og utvetydig mulighed for let og gebyrfrit at frabede sig markedsføring både i forbindelse med afgivelsen af mailadressen til dig og ved hver efterfølgende henvendelse.

Lotte

Hej Advodan Hvis en skoler sender et nyhedsbrev til elevernes forældre, hvor man fortæller om studieture, projekter, udstillinger og andet der foregår på skolen, er det så at betragte som et nyhedsbrev med markedsføringsmæssigt formål som kræver samtykke? Det er ikke reklame for produkter man kan købe, og det er til eksisterende elevers forældre og altså ikke et nyhedsbrev for at rekruttere nye elever. Vi er i tvivl, om vi behøver at indsamle samtykker, når nyhedsbrevet ikke er med salg for øje. Hilsen Lotte

Trine Binderup

Hej Lotte Ud fra dine informationer vil jeg klart mene, at sådanne nyhedsbreve ikke kræver samtykke efter markedsføringslovens regler. Dog bør du bemærke, at der skal indhentes samtykke hvis nyhedsbrevene har kommercielt indhold og/eller i øvrigt kan betegnes som en værende sendt som led i økonomisk aktivitet med et erhvervsmæssigt præg. Derudover skal i være opmærksomme på de persondataretlige regler, som gælder i forhold til de oplysninger i f.eks. indhenter og opbevarer i forbindelse med afsendelse af disse nyhedsbreve.

Kristian

Hej, må Jensens Bøfhus gerne sætte som krav at man SKAL modtage deres nyhedsbreve, for at kunne drage nytte af deres "klub"? Kan de bare selv sætte reglerne her? De sender godt nok mange mails.... Mvh Kristian

Anne

Hej Trine, Min B2B-virksomhed har udarbejdet en persondatapolitik, som nu ligger tilgængeligt på vores hjemmeside. Jeg udsender nyhedsbreve til virksomhedens godt 1000 faste kunder, som har givet samtykke til at modtage nyhedsbrevet, før persondatapolitikken blev nedfældet og offentliggjort. Hvordan skal persondatapolitikken aktiveres - skal alle kunder aktivt godkende vores politik (fx via en pop-up på vores nyhedsmail og i vores webshop eller via en alm. mail for at være sikker på, at den åbnes?) eller er det nok, at man som kunde blot kan læse den, hvis man har lyst? Alle som er kunder hos os har givet samtykke til at der må trækkes de fornødne oplysninger ifm samhandelen.

Trine Binderup

Hej Anne, Databeskyttelsesloven finder som udgangspunkt anvendelse, når der er tale om personoplysninger. Idet din virksomhed er en B2B-virksomhed, behandler din virksomhed i udgangspunktet kun oplysninger om virksomheder og dermed ikke personoplysninger. E-mailadresser og navne på medarbejdere i kundens virksomhed er dog et eksempel på personoplysninger. Det må anbefales, at persondatapolitikken er nemt tilgængelig på hjemmeside, således at din virksomhed i generel forstand opfylder oplysningspligten, men det er ikke et krav at kunderne skal godkende jeres politik.

Lars

Hej. Jeg modtager jævnligt nyhedsbreve fra erhvervsdrivende og nyhedsmedier. Mange har direkte frameldingslink. En del forlanger henvendelse ved tilmelding til hjemmeside eller personlig email med anmodning om at blive slettet fra deres postliste. Lever de procedurer op til EU's regler om nem framelding? Venlig hilsen Lars

Trine Binderup

Hej Lars, Det fremgår af Databeskyttelsesforordningen, som er vedtaget af EU, at et samtykke til nyhedsbreve, mails osv. skal kunne trækkes tilbage på en enkel og lettilgængelig måde. Det skal være lige så let at trække sit samtykke tilbage, som det vil være at give det. Det er dog ikke et krav, at tilbagekaldelsen af samtykket kan ske på nøjagtig den samme måde, som samtykket oprindeligt er givet. Hvorvidt det enkelte nyhedsbrev/medie overholder reglen om, hvorledes samtykke kan tilbagekaldes, afhænger dermed af den konkrete situation, og hvordan du oprindeligt har tilmeldt dig nyhedsbrevet. Eksempel: Der er givet samtykke til nyhedspost ved at sætte et flueben i en boks på erhvervsvirksomhedens hjemmeside. Af mailen med det fremsendte nyhedsbrev, fremgår det, at det er muligt at tilbagekalde sit samtykke ved at kontakte erhvervsvirksomheden i åbningstiden mellem kl. 10-16. Her vil kravet om, at det skal være lige så let at trække sit samtykke tilbage som at give det, ikke være opfyldt.

Gert

Hej Jeg er medlem af en grundejerforening der sender diverse info på mail til alle der har sagt ok for dette, men på den fremsendt mailliste kan man se mail adr. på alle andre i foreningen, efter min opfattelse må jeg ikke kunne se mail adr. På alle andre, hvordan er reglerne omkring dette, er det mig eller foreninger der er helt gal på den. Mvh Gert

Trine Binderup

Hej Gert, Databeskyttelsesloven finder anvendelse på foreninger, hvorfor reglerne heri gælder for foreninger, herunder grundejerforeninger. Ifølge Databeskyttelsesloven skal der ske beskyttelse i forbindelse med e-mailadresser. Når der sendes en e-mail med informationer mv. til alle foreningens medlemmer, skal man være opmærksom på, hvor modtagerenes e-mailadresser angives. Modtagernes e-mailadresser skal placeres i BCC-feltet, således at modtagerne ikke kan se hinandens e-mailadresser, hvorfor det er korrekt, at du ikke må kunne se de andres e-mailadresser.

Else

Vi er en interessegruppe på 25, ikke en forening, som mødes ca en gang om måneden. Vi har hinandens navne, tlf numre, adresser og mailadresser på en intern liste. Vi sender mails til hinanden vedr. møderne. Personoplysningerne bruges udelukkende i gruppen til at komme i kontakt med hinanden. Skal vi sende Bcc? Overholder vi databeskyttelsesloven? mvh Else

Trine Binderup

Hej Else, Databeskyttelsesloven finder ikke anvendelse ved rent private forhold. Spørgsmålet er så, om jeres interessegruppe udgør private forhold. Det har jeg ikke informationer nok til at vurdere, men umiddelbart er det nok opfattelsen. Kryptering af jeres e-mail er uanset ikke nødvendigt, da der udelukkende er tale om oplysninger vedrørende, navn, adresse og lign. Vil I være på den sikre side, så benyt jer af BCC-felt, således at I internt ikke kan se hinandens e-mailadresser.

Jesper Christensen

Hej jeg er ved at overtage dele af et selskab. kan jeg på en eller anden måde bruge mine emailadresser lovligt i et moderselskab eller datterselskab.. vil jo helst ikke lave noget ulovligt, men det er jo med til at værdisætte en virksomhed om dens aktiver og i online virksomhed er adresser jo et aktiv

Trine Binderup

Hej Jesper Efter markedsføringsloven skal du som erhvervsdrivende indhente samtykke fra dine modtagere, inden du må sende dem markedsføringsmateriale via dine e-mailadresser. Der er tale om et skærpet samtykkekrav, hvilket medfører at et samtykke skal gives frivilligt, specifikt, informeret og utvetydigt, således at det er helt tydeligt for modtageren, hvordan pågældende afgiver et samtykke. Har du brug for uddybende konkret svar er du velkommen til at henvende dig til mig.

Stine

Hej med jer. I skriver i artiklen, at man skal indhente samtykke fra sine modtagere, inden man må sende dem markedsføringsmaterialer via e-mail. Men i markedsføringsloven § 10, stk 2 står der, at man gerne må sende mails om tilsvarende produkter uden særskilt samtykke. Er det ikke rigtig forstået? Og er der nogen ændring her i forhold til gdpr?

Trine Binderup

Hej Stine Jeg vil henvise til afsnittet i artiklen omkring "Hvad dækker et samtykke". Det gælder fortsat, at der skal foreligge et samtykke i forbindelse med første køb, og herefter er det korrekt, at man jf. markedsføringslovens § 10, stk. 2, må sende mails om tilsvarende produkter, medmindre kunden selvfølgelig vælger at trække sit samtykke tilbage.

Morten Krebs Andersen

Hvis man som offentlig virksomhed har et arrangement, der bliver livestreamet, skal man så indhente samtykke på deltagere der bliver optaget undervejs, altså dem der holder oplæg?

Laila

Vi har i mit firma netop udsendt en samtykkeerklæring til alle 4600 modtagere i vores mailsystem . Hvis vi har forstået dette korrekt skal vi i princippet slette de kunder der ikke har givet samtykke pr. 25. Maj. Har nu diskuteret det med min mand, der via sit firma mener der ikke gælder de samme regler for b2b som hvis det er b2c?? Og der ved at man godt må fortsætte med at sende nyhedsbreve til b2b? Så tænker det er ret vigtigt at vide om listen skal slettes eller ikke🙂 Mvh Laila

Trine Binderup

Hej Laila Det kommer noget an på omstændighederne, og hvad du har skrevet ud til kunderne, og hvad kunderne tidligere har givet samtykke til. Hvis de tidligere har givet et samtykke, der overholdte persondatalovens betingelser herom, mener jeg ikke der er behov for at bede om et nyt samtykke. Der er også et aspekt omkring markedsføringsloven, og her gælder at uanset om der er tale om B2B eller B2C, så må man ikke rette uanmodet henvendelse elektronisk. Det vil sige at man skal sikre sig et samtykke forinden fremsendelse. Kontakt mig hvis du ønsker konkret rådgivning.

Niels Petersen

Vi har over de seneste 10 år registreret et antal mailadresser på tidligere kunder og interesserede i vores produkt, som idag modtager vores nyhedsbrev. Det er kunden selv der har bedt om vores nyhedsbrev, men de er ikke blevet bedt om at bekræfte deres tilmelding (opt-in) Skal de give samtykke om fortsat at modtage nyhedsbrev? Eller kan vi bare fortsat sende nyhedsbrev til dem? Er det kun nye tilmeldinger (efter 25. maj) der skal give samtykke (opt-in)? MVH

Trine Binderup

Hej Niels Reglerne omkring samtykke er også gældende for de personoplysninger, der er indhentet før 25. maj, idet persondataloven har været gældende siden 2000. Der er imidlertid ikke et skriftlighedskrav i forhold til samtykke, dog vil det jo i sidste ende være virksomheden, der skal kunne dokumentere, at man har fået et samtykke i sin tid. Ønsker du konkret rådgivning i forhold til jeres situation, er du velkommen til at kontakte mig.

Frank J

Hvordan forholder man sig til kunders e-mail som bruges til at sende fakturaer/tilbud på i et enkeltmands firma.Mvh

Daniel Østergaard Melby

Hej Trine, tak for en fin gennemgang. I forhold til samtykkekravet har jeg et spørgsmål i forbindelse med B2B, som jeg håber at kunne få afklaring på: Foreligger der samtykke, såfremt eksempelvis en direktørs sekretær giver tilladelse til, at man må kontakte direktøren på dennes email? Med venlig hilsen Daniel elby

Trine Binderup

Hej Daniel Det beror nok på de konkrete omstændigheder, altså en vurdering af om sekretæren i en sådan henseende kan repræsentere virksomheden. Hvis du vil være sikker, skal du få et udtrykkeligt samtykke fra direktøren.

Allan Kofod

Jeg har igennem de sidste 10 år drevet et konsulentfirma, som yder arbejdsmiljøsupport til hundredevis af virksomhedskunder i DK. Disse kunder sender jeg lejlighedsvis servicemail, når der er relevante nyheder, f.eks. ændringer i Arbejdsmiljøloven osv. Mine nyhedsmail er en del af min servicesupport og der udsendes ikke tilbud med køb af mine ydelser. Jeg har også brancheforeninger som kunder, hvor jeg i aftalen med brancheforeningens ledelse, sender samme lejlighedsvise nyhedsmail ud til brancheforeningens medlemmer. Det er ikke med tilbud om at købe mine ydelser, for det har de gjort, men det er oplysende informationer, som kan være nyttige for medlemmerne at kende til for at overholde f.eks. arbejdsmiljøloven - skal man i disse forhold igennem samme registrering af samtykke osv, når man er valgt som underleverandør, med opgaven løbende at informere medlemmerne?

Karen Mohr Sokkelund

Medlemsbaserede foreninger er på nuværende tidspunkt ikke i samme grad omfattet af reglerne i markedsføringsloven i forhold til samtykke og elektroniske nyhedsbreve. Vil der være de samme krav til foreninger ift. elektroniske nyhedsbreve som til virksomheder, når persondataforordningen og ny persondatalov træder i kræft til maj?

Trine Binderup Larsen

Hej Karen Persondataforordningen omfatter også foreninger, så jeg mener i udgangspunktet at disse bliver omfattet af de samme regler som virksomheder. Om man vil se mere lempeligt på foreninger skal jeg ikke kunne udtale mig om.

Oscar Eg Gensmann

”Når din virksomhed udsender elektroniske nyhedsbreve, skal I sikre jer, at der ligger en logfil i jeres nyhedsbrevssystem, som registrerer dato, tidspunkt og IP-adresse, når en ny abonnent tilmelder sig via en online formular. Og tilsvarende skal I have en logfil, der registrerer de samme oplysninger ved afmeldinger fra et nyhedsbrev. Har I styr på dette, vil I have jeres dokumentation for samtykker i orden,” siger Trine Binderup Larsen. Det passer nu ikke. En IP-adresse er ikke nødvendigvis personhenførbar (husstande, skoler, virksomheder, offentlige wifi hotspots osv) og dokumenterer således ikke rigtig noget. Hvis man vil have dokumentationen i orden sender man en bekræftelsesmail til adressen med et unikt link og logger klikket på dette link. Så ved man at det er en med adgang til mailboksen der har godkendt tilmeldingen. Dette hedder også bekræftet samtykke eller i gamle dage "dobbelt opt-in". Det samme gælder butiks- og messetilmeldinger. Det er ikke nok at gemme sedlen hvor der står en email-adresse. Email-giver er ikke nødvendigvis den samme person, som email-ejer. Derfor bør man altid bruge bekræftet samtykke, hvor man bekræfter hos email-ejer og ikke email-giver, som der her lægges op til.

Claus Topp

Kan et US ejet firma med salgskontor i Sverige, Norge, Finland og Danmark. Forsætte med at sende nyhedsbrev fra opbygget database fra US til nordiske modtager eller skal de ind ordne sig de nye Europæiske regler.

Oscar Eg Gensmann

Man er underlagt reglerne i modtagerens land, ikke afsenders.

Trine Binderup

Hej Daniel Jeg skal beklage det sene svar, men det er korrekt som der efterfølgende er skrevet i tråden. Den altovervejende hovedregel er, at markedsføringsloven finder anvendelse på erhvervsmæssig aktivitet rettet mod Danmark. Eksempelvis markedsføring rettet mod Danmark, der finder sted via internettet fra virksomheder udenfor EU er omfattet af markedsføringslovens regler.