Svar
Før erhvervelsen af en liste med kontaktoplysninger eller en database med oplysninger om enkeltpersoner fra en anden organisation, skal denne anden organisation kunne bevise, at oplysningerne er indhentet i overensstemmelse med den generelle forordning om databeskyttelse, og at oplysningerne må benyttes til reklameformål. Hvis organisationen for eksempel indhentede oplysningerne på baggrund af samtykke, skal samtykket have indeholdt oplysninger om muligheden for overførsel af oplysningerne til andre modtagere, som kan bruge dem til deres egen direkte markedsføring.
Jeres virksomhed/organisation skal også sikre, at listen eller databasen er ajourført, og at I ikke sender reklamer til enkeltpersoner, som har gjort indsigelse mod behandling af deres personoplysninger i forbindelse med direkte markedsføring. Jeres virksomhed/organisation skal desuden sikre, at reglerne i e-datadirektivet (direktiv 2002/58/EF1 overholdes, hvis I bruger kommunikation som f.eks. e-mail til direkte markedsføring.
Sådanne lister behandles på grundlag af legitime interesser, og enkeltpersoner vil have ret til at gøre indsigelse mod denne behandling. Jeres virksomhed/organisation skal også informere enkeltpersoner om, deres personoplysninger er blevet indsamlet, og at I vil behandle dem med henblik på at sende reklamer, senest ved den første kommunikation med dem.
Eksempel
To venner, fru A og hr. B, driver henholdsvis et fitnesscenter og en boghandel. De indsamler begge oplysninger fra deres egne kunder. Det går ikke så godt for hr. B’s boghandel. Der er ikke mange poster i hans kundedatabase, og der kommer ikke mange kunder i butikken. Han fortæller fru A, at han har en ny biografi om en berømt sportsudøver, og spørger, om fru A’s kunder mon vil være interesseret i at få en reklame om bogen. Vilkårene i fru A’s meddelelse om beskyttelse af personlige oplysninger oplyste hendes kunder om, at hun kunne dele oplysningerne med partnere, som tilbyder produkter inden for sundhed og fitness. I det omfang der er givet udtrykkeligt samtykke til muligheden for at videregive oplysningerne til andre modtagere, så de selv kan bruge dem til direkte markedsføring, kan fru A sende sin kundeliste til hr. B. Der må ikke sendes oplysninger om en enkeltperson, som har gjort indsigelse mod behandling af sine personoplysninger.
Referencer
- Artikel 4, stk. 10, artikel 5, 6, 14, 21
- Det Europæiske Databeskyttelsesråds retningslinjer om gennemsigtighed under forordning 2016/679
- e-datadirektiv 2002/58/EF, bestemmelserne om direkte markedsføring, navnlig artikel 13
Example
Two friends, Mrs. A and Mr. B, run, respectively, a gym and a book shop. Each collects data from their respective customers. Mr. B’s book shop isn’t doing well. His client database has few entries and not many people walk into his shop. He tells Mrs. A that he has a new biography of a famous athlete and asks whether Mrs. A’s clients would be interested in receiving advertising about the book. The terms of Mrs. A’s privacy notice informed her clients that she could share the data with partners offering products in the health and fitness area. As far as specific consent was given for the purpose of transmitting the data to other recipients for their own direct marketing, Mrs. A can send the client list to Mr. B. No data can be sent about an individual who objected to the processing of their personal data.
References
- Article 4(10) and Articles 5, 6, 14 and 21 of the GDPR
- EDPB guidelines on Transparency under Regulation 2016/679
- ePrivacy Directive 2002/58/EC rules on direct marketing, in particular Article 13
1 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.07.2002 p.37).