Persondataforordningen implementering i Bilbranchens virksomheder med fokus på kundedata og markedsføring

Transkript

1 28. februar 2017 KART DI Persondataforordningen implementering i Bilbranchens virksomheder med fokus på kundedata og markedsføring Vejledningen fokuserer på kundedata og har til formål at hjælpe Bilbranchens medlemmer med at leve op til Persondataforordningens krav og national lovgivning om markedsføring. Vejledningen vil blive løbende opdateret bl.a. i forbindelse med ikrafttrædelse af ny lov om markedsføring pr. 1. juli Indhold Side Persondataforordningen 2 Dataansvarlig/Databehandler 2 Fortegnelse over behandlingsaktiviteter 2 Retligt grundlag 3 Databehandlingsprincipper 3 De registreredes rettigheder 3 DPO 4 Privacy by design 4 Hvor starter man? 5 Dokumentation 5 Se det som en mulighed! 6 Markedsføring via 8 Samtykke skal som hovedregel indhentes 8 Bestående kundeforhold en undtagelse til samtykkekravet/spamforbuddet 9 Krav til indholdet af markedsføringsmaterialet 9 Markedsføring via andre kanaler 10 Elektronisk udsendte serviceindkaldelser 11 Kundetilfredshedsmålinger 11 Samtykke 12 Robinsonlisten 14 Videregivelse af personoplysninger 15 Anvendelse af kundeoplysninger til markedsføring for andre virksomheder 16 Medlems- og bonusklubber 17 Indstik i aviser og ugeblade 19 Sociale medier 20 Sociale netværk 20 Registrering af personnummer (CPR-nummer) 22 Ringless voic s 23 Beacons 24 Kreditoplysningsbureauer 25 Bilag 1 Privatlivspolitik 26 *SAG* *SAGDI *

2 Persondataforordningen EU's Persondataforordning træder i kraft den 25. maj Bilbranchens virksomheder skal derfor i tiden indtil ikrafttræden sørge for at bringe sin behandling af personoplysninger i overensstemmelse med de nye regler. Forordningen vedrører behandling af personoplysninger ikke ejerskab. Behandling er f.eks. indsamling, registrering, opbevaring, systematisering, søgning, brug, videregivelse, samkøring, sletning og retning. Dataansvarlig/Databehandler Virksomhederne i Bilbranchen behandler personoplysninger både i form af oplysninger om medarbejdere og om kunder. Virksomhederne i Bilbranchen er dermed omfattet af forordningen. Virksomhederne er dataansvarlige, fordi de afgør til hvilke formål og med hvilke midler, der behandles personoplysninger. Mange virksomheder vil også samtidig være databehandlere, fordi virksomhederne selv behandler personoplysningerne. Mange virksomheder benytter også eksterne databehandlere, som kan være en virksomhed, som varetager en anden virksomheds IT-systemer. Det kan også være en udbyder af et webhotel eller et inkassobureau. Den dataansvarlige er ansvarlig for overholdelsen af lovgivningen. Det er den dataansvarlige, over for hvem en registreret kan udøve sine rettigheder efter lovgivningen, herunder sin indsigtsret, retten til at få berigtiget urigtige oplysninger mv. Databehandler behandler personoplysninger på vegne af (efter instruks fra) en dataansvarlig. Databehandleren behandler således aldrig personoplysninger til egne formål og må derfor ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Den dataansvarlige skal kun bruge databehandlere, som kan garantere at implementere de rette tekniske og organisatoriske foranstaltninger. Der skal være en kontrakt/databehandleraftale baseret på EU eller national lov. Databehandler skal iværksætte nødvendige sikkerhedsforanstaltninger. Databehandler skal slette eller tilbagelevere alle data til den dataansvarlige ved kontraktens ophør. Fortegnelse over behandlingsaktiviteter Der skal udarbejdes en intern fortegnelse over virksomhedens behandlingsaktiviteter. Der er ingen formkrav til fortegnelsen, som skal fremvises til Datatilsynet på forlangende. Fortegnelsen skal være skriftlig og elektronisk, så den kan printes og udleveres til tilsynsmyndigheden. Hvis virksomheden tidligere har anmeldt behandling af persondatabehandling til Datatilsynet, kan disse anmeldelser anvendes som fortegnelse. Behandlinger, som ikke tidligere er anmeldt, og nye behandlingsaktiviteter skal anføres i en fortegnelse. 2

3 Fortegnelsen skal indeholde følgende: a) navn på og kontaktoplysninger for den dataansvarlige b) formålene med behandlingen c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til e) hvor det er relevant, overførsler af personoplysninger til et tredjeland, herunder angivelse af dette tredjeland f) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger Der findes et eksempel på en fortegnelse her: enkning_nr._1565_del_i_bind_1.pdf Side 461 Retligt grundlag Virksomheden skal have et retligt grundlag for at behandle personoplysninger. At man ejer kundedata, giver således i sig selv ikke ret til at behandle eller anvende disse data. Det retlige grundlag kan eksempelvis være oplysninger til DMR ved indregistrering af et køretøj eller personoplysninger til et finansieringsselskab. Det retlige grundlag kan også være medlemskab af en kundeklub, en serviceaftale eller et samtykke til at modtage markedsføring. Databehandlingsprincipper Personoplysninger skal behandles ud fra en række principper: behandlingen skal være lovlig (eksempelvis ved et samtykke), der skal være et legitimt og specifikt formål med behandlingen, der må ikke behandles flere oplysninger end nødvendigt (dataminimering), oplysningerne skal være korrekte og opdaterede, oplysningerne skal behandles på mindst indgribende måde, ikke i længere tid end nødvendigt og oplysningerne skal opbevares og behandles sikkert. De registreredes rettigheder De registrerede har ret til at blive informeret om behandlingen af deres oplysninger. Denne information kan indbygges i et egentlig samtykke, men kan også gives på anden måde; f.eks. ved at udlevere og synliggøre virksomhedens privatlivspolitik relevante steder. Det kan være en fordel at skille samtykket og oplysningspligten ad for at gøre samtykket mere spiseligt rent tekstmæssigt. Der er som bilag til denne vejledning indsat en 3

4 standard privatlivspolitik, som kan benyttes umiddelbart eller tilrettes efter virksomhedens behov. De informationer, den registrerede (kunden) skal have, omfatter den dataansvarliges identitet, behandlingsformålet, om data overføres til tredjelande, lagringsperioden, ret til at gøre indsigelse mod behandlingen, at samtykke til behandling kan tilbagekaldes, om data overføres til andre, om ret til at få dem slettet eller rettet og udleveret, om ret til at klage og om ret til ikke at blive profileret. (Afgørelser, der alene baseres på automatiske behandlinger, som har retsvirkning eller betydelige konsekvenser for den registrerede. Automatisk evaluering af bestemte personlige forhold). Forordningen introducerer også en ny rettighed, som indebærer, at den registrerede kan kræve udlevering af hans/hendes personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format således, at den registrerede kan sende disse personoplysninger til en anden dataansvarlig (dataportabilitet). Om der skal oplyses herom, beror på en konkret vurdering. Som dataansvarlig skal man desuden beskytte personoplysningerne og designe sine systemer således, at oplysningerne beskyttes. Det betyder, at beskyttelsen af personoplysninger skal designes ind i løsningerne og slås til som standard. DPO Virksomheden har kun pligt til at udpege en Data Protection Officer, hvis virksomhedens kerneaktiviteter består i behandlingsaktiviteter, som kræver regelmæssig og systematisk overvågning af de registrerede i stort omfang, eller hvis virksomhedens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger og oplysninger vedrørende straffedomme og lovovertrædelser. Kundekontakt og personaleadministration i en bilforretning udgør en biaktivitet for virksomheden, selvom sådanne behandlinger er vigtige for virksomheden. Virksomheder i bilbranchen vil derfor som altovervejende hovedregel ikke være omfattet af pligten til at udpege en DPO. Det vil dog for mange virksomheder være en fordel, at der til enhver tid findes en person eller en arbejdsgruppe, hvor ansvar og ekspertise til at vurdere virksomhedens behandling af personoplysninger er forankret, og som kender virksomheden godt. Den ansvarlige persons rolle vil i givet fald være at overvåge og rådgive virksomheden om databeskyttelse, herunder undervisning af medarbejdere og kontaktperson for de registrerede og myndighederne. I stedet for DPO kan en sådan ansvarlig f.eks. betegnes Compliance manager og det er vel at mærke ikke denne persons ansvar databeskyttelsesreglerne overholdes det er altid virksomhedens ansvar. Hvis man ikke er forpligtet til at have en DPO, men alligevel udpeger en sådan og kalder vedkommende DPO, kan der være risiko for at man dermed bliver forpligtet af forordningens regler om DPO ens rettigheder og pligter. Det anbefales derfor, at virksomheder, der ikke er forpligtet til at have en DPO, hvis virksomheden udpeger en sådan funktion, ikke benytter betegnelsen DPO om denne. Privacy by design Beskyttelse af personoplysninger, skal efter forordningen designes ind i systemer og produkter og slås til som standard. Heri ligger der en forpligtelse til at træffe passende tekniske og organisatoriske foranstaltninger, når virksomheden selv eller en underleverandør designer it-systemer i og for virksomheden. Kravet omfatter ikke kun tekniske 4

5 foranstaltninger. Det kan være tilstrækkeligt f.eks. at instruere og undervise medarbejdere i brugen af systemet på en måde, så databehandlingsprincipperne overholdes f.eks. kravet om dataminimering. Kravet gælder kun nye it-systemer m.m. Det vil sige, at eksisterende systemer kun skal re-designes, hvis der indføres større ændringer heri. Hvis det er muligt gennem passende, rimelige, tekniske eller organisatoriske foranstaltninger at ændre standardindstillingerne i eksisterende systemer skal man pr. 25. maj 2018 gøre det ellers skal man ikke. Hvor starter man? Bilbranchen anbefaler virksomhederne at starte med at lave en dataflowoversigt for at få et overblik over hvilke persondata virksomheden indsamler/modtager, fra hvem, til hvilke formål og til hvem og hvordan data opbevares, rettes, slettes og/eller videregives? Analysen giver et godt overblik over, hvor der skal sættes ind for at overholde forordningens regler på sigt. Forordning fastsætter i nogle tilfælde en pligt til at gennemføre en konsekvensanalyse/risikoanalyse af de risici, en behandling af personoplysninger kan have. En dataansvarlig har derfor pligt til at udarbejde en konsekvensanalyse af nye (ikke allerede eksisterende) teknologier, produkter eller processer, der indeholder en systematisk og omfattende vurdering af personlige forhold baseret på automatisk behandling (profilering), behandling i et stort omfang af følsomme personoplysninger eller systematisk overvågning af et offentligt tilgængeligt område i et stort omfang. Som alt overvejende hovedregel, vil dette ikke være tilfældet i en bilforretning. En konsekvensanalyse kan indeholde: - En generel beskrivelse af de planlagte behandlings metoder. - En evaluering af hvilke risici der er for de registrerede. - Hvilke metoder der er planlagt for at imødekomme risici, herunder sikkerhedsforanstaltninger og mekanismer til beskyttelse af persondata og dokumentation af overensstemmelse med forordningen. Konsekvensanalysen skal udarbejdes forud for ibrugtagning af nye databehandlingsprocesser. DI Digital har udarbejdet en skabelon for en konsekvensanalyse: Final.pdf. Dokumentation Virksomheden skal sørge for at dokumentere sine processer både forud for forordningens ikrafttræden, men også løbende, når virksomheden tilretter procedurer og processer og iværksætter nye. Dokumentation er et centralt element i forordningen og virksomheden bør hele tiden have fokus på, at tiltag, processer, datapolitik, projekter, procedurer, ændringer m.m. i relation til persondata, ikke er i overensstemmelse med forordningen, før de er dokumenteret. DI har udviklet en skabelon til brug for dokumentationen: At overholde persondataforordningen er en løbende proces. Virksomheden er ikke nået i mål, blot fordi den pr. 25. maj 2018 overholder forordningens krav. Virksomheden skal 5

6 iværksætte løbende kontroller af sine processer. Fejl og forbedringer skal løbende rettes, indarbejdes og dokumenteres. Se det som en mulighed! Det er ikke bare udgifter og besvær Virksomheden kommer til at kende sine data på en ny måde i forbindelse med kortlægningen, hvilket måske giver grundlag for nye forretningsmuligheder. Virksomheden kommer til at kunne strømline nogle processer, når den ved, hvor data flyder rundt, hvilket måske giver mulighed for at effektivisere. Virksomheden kommer til at kunne give den beskyttelse af data, som den egentlig gerne ville give, men som den bare håber, at ingen opdager, at den ikke giver lige nu, hvilket betyder bedre håndtering af virksomhedens risici. 6

7 Din virksomhed overholder først Persondataforordningen, når du vedvarende kan svare ja til alle punkterne i tjeklisten nedenfor. Dette skal virksomheden have styr på inden foråret 2018: Dataansvarlig eller databehandler? Vi ved, om vi er databehandler eller dataansvarlig. Vi er klar over, hvilke ansvarsområder vi har som databehandler og -ansvarlig. Placering af data Vi ved, hvor persondata fysisk er placeret. Vi har underskrevet de rigtige dokumenter, hvis data er i et andet land. DPO Vi ved, om vi skal ansætte/udnævne en DPO. Vi har beskrevet, hvad DPO'ens arbejdsopgaver bliver. Vi ved, hvor i organisationen DPO'en skal placeres. Samtykkekrav Vi ved, hvad et samtykke skal indeholde. Vi ved, hvornår der skal indhentes et samtykke. Vi kan dokumentere, at samtykket er givet efter reglerne. Oplysningsforpligtelse Vi oplyser om, hvad indsamlingen af persondata skal bruges til. Dataportabilitet Vi ved, hvilke data en person kan kræve at få flyttet. Vores systemer kan udlevere og flytte data i rette format. Right to be forgotten Vi ved, hvornår en person har ret til at blive glemt. Vi er klar over, hvornår vi må fortsætte med at behandle perondata. Vores systemer kan håndtere og dokumentere sletning eller rettelser i data. Privacy by design/default Vi ved, om vores produkter og ydelser kræver privacy by design/default. Vi lever op til sikkerhedskravene vedr. udvikling af produkter/ydelser. Konsekvensanalyse Vi ved, hvornår vi skal gennemføre en konsekvensanalyse. Vi gennemfører og kan dokumentere vores konsekvensanalyser. Underretningspligt ved databrud Vi ved, hvem vi skal underrette ved databrud. Vi ved, hvad vi skal underrette dem om. Vi har processerne for databrud beskrevet. Comlianceprogrammer Vi kan dokumentere, at vi overholder persondataforordningen. Vi kan dokumentere, hvilke databehandlingsaktiviteter vi har. 7

8 Markedsføring via Samtykke skal som hovedregel indhentes En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af elektronisk post, et automatisk opkaldssystem eller telefax (spam) med henblik på direkte markedsføring eller branding, medmindre den pågældende har givet sit forudgående samtykke hertil. Et samtykke kan derfor f.eks. ikke indhentes ved at sende en mail til modtageren. Den erhvervsdrivende skal give mulighed for let og gebyrfrit at tilbagekalde samtykket. Muligheden for at tilbagekalde samtykket skal som minimum tilbydes via samme kommunikationstjeneste. Har kunden f.eks. givet sit samtykke via sms, skal kunden som minimum kunne tilbagekalde sit samtykke via sms. Den erhvervsdrivende må dog gerne tilbyde supplerende muligheder for at framelde sig markedsføring, såfremt denne mulighed er nemmere at anvende for modtageren, f.eks. via et link. Et samtykke forudsætter, at den der afgiver samtykket er klar over, hvilke virksomheder der afgives samtykke til at modtage markedsføringsmateriale fra. Hvis et samtykke indhentes i forbindelse med f.eks. en konkurrence eller en spørgeskemaundersøgelse, skal det vare klart og utvetydigt for kunderne, at der samtidig med deltagelsen i konkurrencen m.v. gives samtykke til at modtage markedsføring. Begrebet elektronisk post skal forstås som enhver meddelelse i form af tekst, stemmegengivelse, lyd eller billede, som sendes via et offentligt kommunikationsnet, og som lagres i nettet i modtagerens terminaludstyr, indtil meddelelsen hentes af modtageren. Ved automatisk opkaldssystem forstås automatiserede opkaldssystemer og kommunikationssystemer uden menneskelige indgreb. Ved opringningen meddeles der automatisk et indtalt reklamebudskab. Efter Forbrugerombudsmandens opfattelse er det som udgangspunkt ulovligt, at en kunde skal sige ja tak til at modtage reklamer via sms eller mail for at få lov til at købe en vare. Det er dog tilladt f.eks. at tilbyde en rabat til kunde, der samtidig med købet siger ja tak til at modtage reklamer via sms eller mail. Det kræver dog, at kunden også har mulighed for at købe varen til fuld pris uden at acceptere elektroniske henvendelser. Rene servicemeddelelser, f.eks. om omlægninger/ændringer i aftaleforhold i løbende kundeforhold, f.eks. forsikringer eller abonnementer, falder uden for spamreglerne. Kunderne skal dog have mulighed for at frabede sig fremtidige elektroniske servicemeddelelser. En serviceindkaldelse er ikke en servicemeddelelse. Forbrugerombudsmanden accepterer, at virksomheder viser et logo eller har en neutral henvisning til egen hjemmeside i en mailsignatur. Dette vil ikke være omfattet af spamreglerne. Det vil derimod være omfattet, hvis mailsignaturen indeholder tilbud eller andre former for markedsføring. Som udgangspunkt gælder et samtykke til at modtage markedsføring, indtil det tilbagekaldes. Det er dog Forbrugerombudsmandens opfattelse, at et samtykke kan falde bort efter principperne om passivitet, hvis virksomheden ikke har gjort brug af samtykket i en længere periode som må anses for at være et år. 8

9 Bestående kundeforhold en undtagelse til samtykkekravet/spamforbuddet En erhvervsdrivende, der fra en kunde har modtaget dennes elektroniske adresse i forbindelse med salg af produkter eller ydelser, kan dog markedsføre egne tilsvarende produkter til kunden via elektronisk post. Det forudsætter dog, at kunden klart og utvetydigt har mulighed for let og gebyrfrit at frabede sig dette både i forbindelse med afgivelsen af adressen til den erhvervsdrivende og ved hver efterfølgende henvendelse. Det er en forudsætning for at benytte undtagelsen, at kunden selv har oplyst sin elektroniske adresse til den erhvervsdrivende, og i den forbindelse har fået oplysning om, at den vil blive anvendt til markedsføring. Den erhvervsdrivende kan ikke benytte elektroniske adresser, der er oplyst af andre. Egne tilsvarende produkter skal forstås som tilsvarende vare- eller tjenesteydelsesgrupper, som den erhvervsdrivende selv forhandler og ikke nødvendigvis som fuldstændig identiske produkter eller ydelser. Den erhvervsdrivende skal specificere, hvad der forstås ved egne tilsvarende produkter overfor modtageren på tidspunktet for den erhvervsdrivendes registrering af adressen, ellers skal egne produkter fortolkes snævert. Det er ikke afgørende, hvad den erhvervsdrivende forstår ved egne tilsvarende produkter. Det afgørende er de forventninger, den erhvervsdrivende har skabt hos kunden i forbindelse med afgivelsen af adressen, om, hvad der er den erhvervsdrivendes egne tilsvarende produkter. Øvrige koncernselskaber er ikke den samme erhvervsdrivende. Den erhvervsdrivende kan således kun benytte adresser, der er afgivet i forbindelse med indgåelse af en aftale om salg af et produkt eller en ydelse. Det er endvidere et krav, at kunden samtidig klart og utvetydigt bliver oplyst om, at adressen vil kunne blive benyttet til fremsendelse af reklame, samt om muligheden for at vælge dette fra. En erhvervsdrivende, der under andre omstændigheder kommer i besiddelse af en kundes elektroniske adresse, vil ikke kunne gøre brug af undtagelsen. Der kan ikke sendes elektronisk markedsføring til potentielle kunder, der har vist interesse for et produkt, men som ikke har gennemført et køb. Det skal således være muligt for kunden i forbindelse med afgivelsen af sin elektroniske adresse at meddele, at vedkommende ikke ønsker at modtage reklame med elektronisk post. Muligheden for at frabede sig fremtidige henvendelser skal som minimum tilbydes via samme kommunikations-tjeneste. Enhver elektronisk markedsføring skal indeholde vejledning om, hvordan man nemt og gebyrfrit framelder sig fremtidige reklamer. Frameldingssystemet skal være indrettet således, at den, der foretager en sådan framelding, modtager en bekræftelse herpå. Den erhvervsdrivende har efter bestemmelsen alene ret til at fremsende sin markedsføring pr. elektronisk post. Fremsendelse af markedsføringsmateriale pr. fax eller brug af telefonisk opkaldsmaskine vil fortsat kræver et forudgående samtykke. Hvis den erhvervsdrivende ønsker at benytte andre fjernkommunikationssystemer, som f.eks. almindelig post, skal reglerne herom følges. Krav til indholdet af markedsføringsmaterialet Når en erhvervsdrivende retter henvendelse til nogen (forbruger såvel som erhvervsdrivende) ved brug af elektronisk post med henblik på direkte markedsføring, 1) skal markedsføringen klart kunne identificeres som sådan, 9

10 2) skal betingelser for salgsfremmende foranstaltninger (f.eks. konkurrenceregler) være let tilgængelige og fremlægges klart og utvetydigt, 3) skal det fremgå, på hvis vegne markedsføringen udsendes, på en måde, der ikke er tilsløret eller holdes skjult, 4) skal der være en adresse som modtageren kan henvende sig til for at få standset sådanne henvendelser (et link, hvor modtageren kan frabede sig sådanne henvendelser, vil også opfylde kravet), og 5) modtageren må ikke opfordres til at besøge websteder, der ikke opfylder kravene i nr Det er forbudt at rette henvendelse til nogen ved brug af elektronisk post med henblik på direkte markedsføring, hvis markedsføringen ikke klart kan identificeres som sådan. Det er et krav, at hvis markedsføringen omhandler reklametilbud som f.eks. rabatter, præmier eller tilgift skal de klart kunne identificeres som sådanne, og betingelserne for at opnå dem skal vare let tilgængelige og fremlægges klart og utvetydigt. Det samme gælder salgsfremmende konkurrencer eller spil. Markedsføring via andre kanaler Andre midler til fjernkommunikation end elektronisk post, telefax og automatiske opkaldssystemer ikke må anvendes til direkte markedsføring over for fysiske personer, hvis modtageren har frabedt sig det enten direkte over for den erhvervsdrivende eller ved en markering i CPR (Robinsonlisten). Det er uden betydning, om den fysiske person er forbruger eller erhvervsdrivende. Det kan i praksis være vanskeligt at afgrænse, hvad der menes med andre midler til fjernkommunikation end elektronisk post, telefax og automatiske opkaldssystemer. Den teknologiske udvikling skaber hele tiden nye måder at markedsføre sig på, herunder hvordan de erhvervsdrivende henvender sig til modtageren af markedsføringen. Andre midler til fjernkommunikation er de tilfælde, som ikke falder ind under definitionen på elektronisk post m.v. For at overholde loven skal en erhvervsdrivende sammenholde den modtagerliste, man vil benytte ved direkte markedsføring, med den fortegnelse, som udarbejdes af CPR med virkning for et kvartal af gangen, også kaldet Robinsonlisten. Hvis en erhvervsdrivende ved undersøgelse i CPR typisk i forbindelse med ajourføring af adresselister - er blevet bekendt med en forbrugers markering, skal den erhvervsdrivende respektere markeringen. En erhvervsdrivende, der selv har indhentet gyldigt samtykke, kan se bort fra adressebeskyttelsen i CPR/Robinsonlisten. Første gang en erhvervsdrivende retter henvendelse til fysiske personer (forbrugere eller erhvervsdrivende) ved brug af andre midler end elektronisk post, et automatisk opkaldssystem eller telefax til fjernkommunikation, skal den erhvervsdrivende klart og utvetydigt oplyse om retten til at frabede sig direkte markedsføring fra den erhvervsdrivende. Den erhvervsdrivende skal endvidere altid give mulighed for let og gebyrfrit at frabede sig sådanne henvendelser. Det vil ikke være tilstrækkeligt, at oplysningen gives i den erhvervsdrivendes almindelige forretningsbetingelser, som udleveres til modtageren. 10

11 Elektronisk udsendte serviceindkaldelser En serviceindkaldelse er som udgangspunkt omfattet af begrebet markedsføring. Der ligger jo i en serviceindkaldelse i sig selv et tilbud om at udføre serviceeftersyn mod betaling, ligesom bilejer i forhold til fabriksgarantien kan vælge at lade service udføre på et værksted efter eget valg og derfor ikke kontraktligt er bundet til værkstedet. Ofte vil en serviceindkaldelse desuden indeholde tilbud på andre af virksomhedens ydelser og produkter, hvilket uden tvivl udgør markedsføring. Man kan derfor som hovedregel holde sig til, at elektronisk udsendelse af serviceindkaldelser kræver forudgående samtykke medmindre: - Kunden har bedt om at modtage indkaldelse. - Kunden er i et eksisterende kundeforhold (undtagelsen til spamforbuddet). - Kunden har indgået en serviceaftale. Kundetilfredshedsmålinger Mails og sms er med et link til markedsundersøgelser, kundetilfredshedsanalyser eller lignende er som udgangspunkt ikke omfattet af spamreglerne. Det betyder, at det er tilladt at sende den type mails uden forudgående tilladelse (samtykke) fra modtagerne. Men, hvis analysen mv. har til formål at brande (fremme kendskabet til) en virksomhed eller reklamere for en virksomheds produkter, vil henvendelsen være spam og ulovlig, hvis modtageren ikke har givet samtykke til det. Det er lovligt uden samtykke at sende en mail eller sms til f.eks. en tidligere kunde, hvor personen opfordres til at anmelde en købsoplevelse hos en virksomhed. Henvendelsen skal dog fremtræde neutral, og den må ikke indeholde markedsføring af virksomheden. Kunden skal derudover have mulighed for at frabede sig yderligere anmodninger om anmeldelser. Om anvendelse af eksempelvis Trustpilot som kundetilfredshedsmåling har Forbrugerombudsmanden udtalt, at udsendelse af s med opfordring til at afgive en brugeranmeldelse IKKE er i strid med markedsføringslovens regler. Det er dog en betingelse, at en ikke er sendt i afsætningsøjemed. Efter Forbrugerombudsmandens opfattelse er en med opfordring til brugeranmeldelse ikke omfattet af markedsføringsloven, hvis ikke indholdet af en har til formål at skabe afsætning, imageopbygning/branding eller lignende for afsenderen over for modtageren. Det vil være lovligt at inkludere virksomhedens navn i en. 11

12 Samtykke Hvor det efter markedsføringsloven er et krav, at indhente samtykke til elektronisk markedsføring, medmindre der er tale om et eksisterende kundeforhold, er det ikke altid, at der er behov for at indhente samtykke til blot at registrere personoplysninger om kunderne. Når det drejer sig om de almindelige personoplysninger (altså de oplysninger, der ikke er følsomme), må man altid registrere disse, hvis der er givet et samtykke. Derudover må man registrere personoplysninger uden samtykke i følgende tilfælde: Hvis det er nødvendigt for at indgå/opfylde en aftale eller kontrakt. Hvis der er krav om det efter lovgivningen. Hvis det er nødvendigt for at gennemføre eller fastslå et retskrav. Hvis oplysningerne er offentliggjort af den registrerede selv. Hvis det sker ud fra en afvejning af interesser. Sidstnævnte situation indebærer, at det er lovligt at registrere almindelige personoplysninger, hvis den dataansvarliges interesse i at registrere oplysningerne overstiger den registreredes interesse i IKKE at blive registreret. F.eks. har en bilforhandler en interesse i at registrere oplysninger om sine kunder med henblik på opfyldelse af reklamationsretten, der overstiger den registreredes interesse i ikke at være indregistreret. Derfor behøver bilforhandleren ikke altid et forudgående samtykke til at registrere oplysninger om sine kunder eller potentielle kunder. Det forudsætter dog, at behandlingen af oplysninger overholder forordningens behandlingsprincipper, at virksomheden overholder sin oplysningspligt, herunder sletter eller begrænser oplysningerne, hvis kunden beder om det. Hvis et samtykke er nødvendigt (f.eks. fordi det vedrører følsomme oplysninger), skal det være indhentet forud. Det skal være frit, specifikt, informeret og utvetydigt. Det betyder, at samtykket skal være frivilligt afgivet, at det skal præciseres, hvad samtykket konkret omfatter, at personen er blevet oplyst om samtykket og at personen via en handling eller adfærd accepterer behandlingen af sine oplysninger. Et samtykke er ikke frit, hvis det er gjort betinget af forhold, som ikke er nødvendige for opfyldelse af kontrakten eller aftalen mellem parterne. Et samtykke skal desuden være forståeligt, være i en nem tilgængelig form og anvende klart og tydeligt sprog. Hvis et af de forhold som samtykket bygger på, eksempelvis formålet eller typen af behandling, ændres, skal der indhentes et nyt samtykke. Dette kan ske ved at klikke i en boks eller vælge nogle bestemte indstillinger, afgive en skriftlig erklæring eller lignende. Virksomheden skal være i stand til at dokumentere at samtykket er givet. Samtykket skal derudover kunne adskilles fra andre vilkår. Det er f.eks. ikke længere gyldigt, at skrive samtykket ind under generelle brugervilkår. De fem elementer i det nuværende kundesamtykke i relation til markedsføring er: - Hvem er virksomheden som man giver samtykket til? - Hvilke produkter og ydelser samtykket omfatter. - Hvilke medier man samtykker til at modtage henvendelser via. - I givet fald om samtykket også omfatter andre virksomheder og hvem. - Oplysning om retten til at tilbagekalde samtykket/afmelde fremtidige henvendelser. 12

13 Eksempel på formulering af et samtykke til markedsføring: Ja tak, jeg vil gerne modtage info og materiale fra Biler A/S via brev, telefon og elektronisk post (f.eks. , sms, mms) samt ringless voic s (SMS-besked om, at der er en reklame på telefonsvaren) med henblik på markedsføring af biler, tilbehør og ydelser til biler, reparation/service af biler, events og konkurrencer. Jeg giver samtidigt tilladelse til, at Biler A/S må videregive mine oplysninger til importører af mærke X, Y og Z i DK, med det formål at kontakte mig som ovenfor nævnt. Samtykket omfatter også vor markedsføring på vegne af de pågældende bilimportører.* Du kan til enhver tid tilbagekalde dit samtykke på Biler.dk/afmeld, eller ved at kontakte Biler A/S, Svinget 8, xxxx Bilby, telefon xxxx xxxx. *Særligt omkring videregivelse af kundeoplysninger til bilimportører anbefaler Bilbranchen, at samtykket kun medtager denne del, såfremt bilforhandleren er kontraktretligt forpligtet hertil. Bilbranchen bistår gerne med at undersøge, hvorvidt forhandlerkontrakten indeholder en sådan forpligtelse for forhandleren. 13

14 Robinsonlisten Hvis en person er registreret på Robinsonlisten, men efterfølgende giver samtykke til en erhvervsdrivende til at modtage markedsføringsmateriale, så risikerer den erhvervsdrivende ikke at komme i klemme. Andre erhvervsdrivende som ikke har opnået samtykke skal fortsat undlade at kontakte personen i overensstemmelse med Robinsonlisten. En kunde kan derfor godt stå på Robinsonlisten samtidig med at kunden har samtykket til at én eller flere erhvervsdrivende kontakter kunden i markedsføringsøjemed. Man skal dog som erhvervsdrivende sørge for at have sin dokumentation i orden. Dvs. at det skal dokumenteres, at der er givet samtykke og til hvad og på hvilken måde. Både markedsføringsloven og persondataloven indeholder regler om, at en virksomhed i visse tilfælde skal tjekke i CPR, om en forbruger har frabedt sig henvendelser i markedsføringsøjemed. Den fortegnelse, som udarbejdes af Indenrigsministeriet én gang i kvartalet over personer, der har frabedt sig henvendelser i markedsføringsøjemed ved markering i CPR, anvendes til opfyldelse af undersøgelsespligten efter markedsføringsloven i relation til egne og potentielle kunder. Efter Persondataloven skal der også foretages en undersøgelse i CPR hver gang en virksomhed ønsker at videregive kundeoplysninger til andre virksomheder til brug ved markedsføring. Persondataloven gælder ved videregivelse af kundeoplysninger til brug for en anden virksomheds markedsføring eller ved anvendelse af oplysningerne på vegne af en anden virksomhed i markedsføringsøjemed. 14

15 Videregivelse af personoplysninger Persondataloven indeholder særlige regler om videregivelse af oplysninger om forbrugere (kundeoplysninger) til brug for andre virksomheders markedsføring; herunder bilimportører. Kundeoplysningerne kan videregives, hvis kunden har samtykket til videregivelse. Samtykket kan begrænses til bestemte virksomheder eller kategorier af virksomheder. Hvis der ikke foreligger et samtykke, må en erhvervsdrivende kun videregive kundeoplysninger, hvis følgende betingelser overholdes hver gang videregivelse sker: - Der må kun videregives "generelle kundeoplysninger". Som eksempler på generelle kundeoplysninger, der vil kunne videregives uden samtykke, kan nævnes oplysninger om forbrugerens (kundens) navn, adresse, køn og alder. Det samme gælder generelle oplysninger som f.eks., at kunden er husejer, bilejer, computerejer og lignende. Tilsvarende gælder f.eks. oplysninger om, at der er tale om en kunde til fritidsartikler, til baby- og småbørnsartikler, til økologiske varer, til vin og spiritus eller andre generelt afgrænsede varegrupper. - Oplysningerne må ikke videregives, hvis forbrugeren har gjort indsigelse imod det, herunder ved at få markeret i Robinsonlisten, at han eller hun ikke ønsker henvendelser i markedsføringsøjemed. Der er ingen formkrav til indsigelsen, og den kan derfor fremsættes såvel mundtligt som skriftligt eller via elektronisk post. Virksomheden bør notere og gemme modtagne indsigelser, ligesom den bør tjekke sine optegnelser, hver gang den ønsker at videregive kundeoplysninger til brug for markedsføring. - I de tilfælde, hvor kunden hverken direkte over for virksomheden eller gennem en registrering på Robinsonlisten har gjort indsigelse mod videregivelse og anvendelse i markedsføringsøjemed eller frabedt sig sådanne henvendelser, skal virksomheden oplyse kunden om retten til at gøre indsigelse mod videregivelse. Virksomheden skal, inden oplysningerne videregives eller anvendes til markedsføring tydeligt og på en forståelig måde oplyse om indsigelsesretten. Det vil i den forbindelse ikke være tilstrækkeligt at beskrive retten til at gøre indsigelse i de almindelige forretningsbetingelser, som måtte blive udleveret til den pågældende forbruger. Oplysning om indsigelsesretten skal i stedet gives som en individuel meddelelse til kunden, uden at dette dog udelukker, at meddelelsen tillige indeholder andre oplysninger. Virksomheden må ikke videregive eller anvende oplysningerne til markedsføring, før det ved udløbet af en frist på to uger er konstateret, at forbrugeren ikke har gjort indsigelse. Heller ikke i denne situation gælder der nogen formkrav til indsigelsen. - En virksomhed kan ikke kræve betaling for behandling af en indsigelse. - Hvis forbrugeren fremsætter sin indsigelse efter udløbet af 14-dagesfristen, skal virksomheden fremover rette sig efter den. - Der må ikke videregives mere detaljerede oplysninger om, hvad kunden har købt, eller om kundens forbrugsvaner, medmindre kunden på forhånd har givet sit 15

16 samtykke. Der må f.eks. ikke videregives oplysninger om, hvorvidt kundens bil er købt på kredit, og i givet fald oplysninger om vilkårene for kreditten. - Hvis virksomheden har lovet sine kunder, at oplysninger om dem ikke vil blive videregivet, må den ikke videregive noget som helst heller ikke generelle kundeoplysninger - uden samtykke fra den enkelte kunde. Procedure for videregivelse af kundeoplysninger, når der ikke foreligger samtykke; Direkte frabedelse eller registrering i Robinsonlisten? Nej. Kunden oplyses om ret til at gøre indsigelse mod videregivelse. Ja. Videregivelse ikke tilladt. Nej tak. Videregivelse ikke tilladt. Har kunden ikke gjort indsigelser inden to uger, kan oplysningerne videregives. Anvendelse af kundeoplysninger til markedsføring for andre virksomheder De særlige regler i persondataloven gælder ikke kun i den situation, hvor en virksomhed ønsker at videregive oplysninger om en forbruger til en anden virksomhed med henblik på markedsføring. Reglerne gælder også, hvis virksomheden i stedet for at videregive oplysningerne anvender dem på vegne af en anden virksomhed med henblik på markedsføring. Denne situation vil typisk foreligge, når en virksomhed fra en anden virksomhed modtager markedsføringsmateriale i form af direct mails eller lignende og derefter udsender materialet til sine egne kunder, eventuelt selektivt ud fra de oplysninger om de enkelte kunders forbrugsvaner og -mønstre, som virksomheden er i besiddelse af. Hvis kunden ikke har samtykket til at modtage markedsføringsmateriale fra andre virksomheder skal betingelserne ovenfor overholdes. Dvs. at virksomheden kun kan foretage sådan markedsføring for andre virksomheder på basis af "generelle kundeoplysninger", at der ikke kan ske sådan markedsføring over for kunder, der har gjort indsigelse imod det, herunder ved at få markeret i Robinsonlisten, at han eller hun ikke ønsker henvendelser i markedsføringsøjemed, ligesom der skal informeres om indsigelsesretten og gives kunden en frist på to uger til at benytte sig af retten til at gøre indsigelse. 16

17 Medlems- og bonusklubber Henset til formålet med medlems- og bonusklubber er det Datatilsynets opfattelse, at et klubmedlem vil kunne give samtykke til, at en medlems- eller bonusklub anvender oplysninger om medlemmet på vegne af de eksterne samarbejdspartnere til udsendelse af markedsføringsmateriale om disses varer eller tjenesteydelser - uden at de fremtidige samarbejdspartnere behøver at være navngivne i samtykkeerklæringen. Det er dog en forudsætning, at der er en naturlig sammenhæng mellem klubkonceptet og de ydelser, der markedsføres over for kunderne, således at kunderne alene modtager markedsføringsmateriale om varer eller tjenesteydelser med en vis tilknytning til medlems- eller bonusklubbens interesseområde. Når en medlems- eller bonusklub indhenter samtykke, skal der fortsat gives tilstrækkelig information til, at den samtykkende kan overskue konsekvenserne heraf. Dette betyder, at der skal gives en så præcis information som muligt på det pågældende tidspunkt, således at personen reelt kan overskue, hvad der er, der gives samtykke til. De samarbejdspartnere, der er kendt på tidspunktet for samtykkets afgivelse, skal angives præcist, ligesom der bør gives information om, at der senere kan komme nye samarbejdspartnere til, samt hvis muligt informeres om typen af fremtidige samarbejdspartnere. Herudover skal der i medfør af princippet om god databehandlingsskik i persondataloven gives information til medlemmerne ved optagelse af nye samarbejdspartnere, således at medlemmerne har mulighed for at fremsætte en indsigelse mod den pågældende behandling. Eksempel på formulering af samtykke i kunde-/bonusklub: Ja tak, jeg vil gerne modtage info og materiale fra kundeklubben hos Biler A/S via brev, telefon og elektronisk post (f.eks. , sms, mms) samt ringless voic s (SMS-besked om, at der er en reklame på telefonsvaren) med henblik på markedsføring af biler, tilbehør og ydelser til biler, reparation/service af biler, events og konkurrencer. Jeg giver samtidigt tilladelse til, at kundeklubben hos Biler A/S må videregive mine oplysninger til vores samarbejdspartnere, Bilfinans A/S, Bilforsikring A/S, Benzinselskab A/S, Restaurantkæde A/S og Rejseselskab A/S samt eventuelt kommende samarbejdspartnere inden for varer og tjenesteydelser af interesse for kundeklubben, med det formål at kontakte mig som ovenfor nævnt. Samtykket omfatter også vor markedsføring på vegne af de pågældende samarbejdspartnere. Du kan til enhver tid tilbagekalde dit samtykke på Biler.dk/afmeld, eller ved at kontakte Biler A/S, Svinget 8, xxxx Bilby, telefon xxxx xxxx. Samtykke til videregivelse uden for kunde-/bonusklubber eller til samarbejdspartnere, der ikke har en vis tilknytning til en naturlig sammenhæng mellem klubkonceptet og de ydelser, der markedsføres over for kunderne skal indhentes særskilt. En egentlig videregivelse til sådanne samarbejdspartnere med henblik på markedsføring må forudsætte, at samarbejdspartneren er nævnt i samtykkeerklæringen. Hvis der ikke foreligger et sådant udtrykkeligt samtykke, må virksomheden følge indsigelsesproceduren beskrevet oven for i afsnittet om videregivelse af oplysninger. 17

18 Begrundelsen for Datatilsynets opfattelse er, at en videregivelse indebærer en ikke uvæsentlig risiko for krænkelse af medlemmernes integritet, idet personlige oplysninger herved spredes til en større kreds. 18

19 Indstik i aviser og ugeblade Datatilsynet har afgivet en generel udtalelse vedrørende indstik i aviser og ugeblade i forhold til persondataloven. Det er Datatilsynets opfattelse, at det giver anledning til betydelig tvivl, om indstik i aviser, ugeblade m.v., der sendes til abonnenter, i relation til ovennævnte regler skal det betragtes som markedsføring på vegne af de virksomheder, hvis produkter, tjenesteydelser m.v. der reklameres for. På den ene side kan indstik betragtes som en i forhold til aviser, ugeblade m.v. uafhængig og særskilt markedsføring over for abonnenten som forbruger. På den anden side har indstik mange lighedspunkter med almindeligt forekommende trykte annoncer i aviser, ugeblade m.v., som ikke anses for markedsføring i relation til reglerne i persondataloven, og det vil efter Datatilsynets opfattelse i meget vidt omfang reelt umuliggøre brug af indstik over for abonnenter på aviser, ugeblade m.v., hvis den særlige indsigelsesprocedure i loven skal iagttages, jf. ovenfor. Denne konsekvens har efter Datatilsynets opfattelse næppe været tilsigtet med persondataloven. På denne baggrund er det Datatilsynets opfattelse, at indstik i aviser, ugeblade m.v. ikke kan anses for omfattet af reglerne i persondataloven, og den særlige indsigelsesprocedure skal derfor ikke iagttages. Datatilsynet forudsætter dog, at aviser, ugeblade m.v. i forbindelse med salg af indstiksplads ikke udnytter eventuelle særlige oplysninger, de måtte have om abonnenternes forbrugsvaner. 19

20 Sociale medier Erhvervsdrivende må ikke præmiere facebookbrugere for at sprede budskaber til deres venner, medmindre vennerne har mulighed for at frabede sig fremtidige henvendelser fra den erhvervsdrivende. Al markedsføring skal udformes og præsenteres på en måde, så det klart og tydeligt fremgår, at der er tale om markedsføring og fra hvem. Erhvervsdrivende må ikke rette henvendelse til en profil på et socialt medie i markedsføringsøjemed ved brug af elektronisk post, medmindre der er indhentet et samtykke hertil. Ved direkte markedsføring over for abonnenter eller brugere ved brug af andre midler end elektronisk post til uanmodet kommunikation, skal modtageren kunne frabede sig henvendelser fra den erhvervsdrivende. På Facebook er der mulighed for at sende beskeder til brugernes indboks (meddelelser) eller at slå meddelelser op på brugernes timeline. Sådanne meddelelser fra erhvervsdrivende er efter forbrugerombudsmændenes opfattelse omfattet af definitionen på elektronisk post, og det kræver derfor et forudgående samtykke. Sociale netværk Når man skriver på nettet og uploader billeder, er det ofte noget, der berører andre personer. Det, som der skrives om en person, falder ind under begrebet personoplysninger. Et billede med andre personer, som lægges på nettet, er også personoplysninger. Det er personoplysninger, bare nogen kan finde ud af, hvem det handler om. Det kan altså godt være personoplysninger, selv om personens navn ikke er nævnt. Når der offentliggøres oplysninger om personer herunder i skrift eller billeder skal dansk lovgivning efterleves. Man kan også komme i konflikt med straffeloven, hvis man krænker andre personer alvorligt. Andre regler handler om ophavsret. De gør, at man ikke bare må tage andres billeder og offentliggøre disse. Persondataloven beskytter personers ret til privatliv og indeholder spilleregler, som enhver brug af personoplysninger skal leve op til. Private oplysninger må kun offentliggøres, hvis personen giver lov. Det betyder, at man ikke bare må offentliggøre private og følsomme oplysninger om andre personer, uden at sørge for at spillereglerne i loven er opfyldt. Man må normalt kun offentliggøre den slags oplysninger, hvis man har et klart samtykke fra den person, oplysningerne handler om. Et samtykke er, når personen selv har sagt ja til offentliggørelsen. Det skal være klart og tydeligt, hvad der er sagt ja til. Og det skal være frivilligt. Kun det, der er helt harmløst, må offentliggøres uden samtykke. Der må ikke offentliggøres et portrætbillede af en anden person, uden først at indhente samtykke fra personen. Det samme gælder, hvis det er et portrætbillede af to personer eller en bestemt gruppe af personer. Med portrætbilleder menes billeder, hvor formålet er at afbilde en eller flere bestemte personer. 20

21 Hvis der foreligger samtykke fra en person, må man normalt godt offentliggøre oplysninger om ham eller hende. Hvis det er et mindre barn, er det forældrene, der skal give lov. Hvis der ikke foreligger samtykke, må der kun offentliggøres harmløse oplysninger om en anden person. Altså noget, som er så uskyldigt, at man normalt ikke føler sig trådt over tæerne. Hvis det er et harmløst situationsbillede, må man normalt godt offentliggøre det uden samtykke. Men man må ikke lægge det ud, hvis man er bekendt med, at personerne på billedet ikke vil have det. Hvis der kommer indvendinger, efter at billedet er lagt ud, bør det fjernes fra nettet. 21

22 Registrering af personnummer (CPR-nummer) Ifølge persondataloven må bilforhandlere (og andre erhvervsdrivende) indsamle og registrere oplysninger om personnummer, når dette er følger af lovgivningen. I bekendtgørelse om registrering af køretøjer har Skatteministeren netop fastsat sådanne bestemmelser. Efter disse bestemmelser skal der ved indregistrering af et køretøj ske en anmeldelse til køretøjsregisteret (DMR). Dette foregår, som bekendt, ved at bilforhandleren selv, som nummerpladeoperatør, foretager registreringen eller omregistreringen direkte i DMR. Ved anmeldelsen til registrering skal der efter bekendtgørelsen oplyses om ejerens fulde navn og adresse samt CPR-nummer eller CVR-nummer. Det er derfor lovligt at anføre kundens CPR-nummer på slutsedlen til brug for registreringen i DMR. Efter et andet regelsæt, nemlig bogføringsloven, er bilforhandlerne pålagt at opbevare regnskabsmateriale i fem år. Derfor er det lovligt at opbevare slutsedlerne med CPRnumre i fem år fra udgangen af det regnskabsår, som slutsedlerne vedrører. CPR-numre er ikke følsomme persondata efter Persondataforordningen, men derimod almindelige persondata. Der vil formentlig blive lovgivet særskilt herom I Danmark, således at CPR-numre fortsat skal beskyttes som hidtil. 22

23 Ringless voic s "Ringless Voic s" eller "Elektroniske telefonbeskeder" fungerer ved at den erhvervsdrivende selv eller via en samarbejdspartner lægger telefonbeskeder på kundernes/forbrugernes mobiltelefoner med markedsføringsindhold og med opfordring til at ringe tilbage til den erhvervsdrivende eller på anden måde kontakte den erhvervsdrivende. Telefonen ringer ikke hos kunden - deraf navnet - kunden modtager på sin mobiltelefon/smartphone blot besked (evt. samtidig med en beskedtone) om, at der er modtaget en besked på telefonsvareren/voic en, som kan aflyttes. Når kunden via sin telefonsvarer aflytter beskeden, hører kunden den afsendte besked, som indeholder et markedsføringsmæssigt budskab. Det er samme besked, som udsendes til et større eller mindre antal kunder. Forbrugerombudsmanden har om denne markedsføringsform udtalt, at et samtykke til Ringless Voic s skal udformes, så kunderne oplyses tydeligt om, at virksomheden indtaler en besked på kundernes telefonsvarer, og at kunden modtager en SMS-besked fra sin teleudbyder om, at der er en reklame på telefonsvaren. Videre oplyser Forbrugerombudsmanden, at det skal fremgå tydeligt af både SMS-beskeden og den indtalte besked, at der er tale om en indtalt reklamemeddelelse og hvem afsenderen af reklamemeddelelsen er, så kunden er klar over, allerede når han/hun modtager SMS-beskeden, at det er en indtalt reklamemeddelelse. Hvis det koster mere for kunden at ringe og aflytte reklamemeddelelsen end det normalt koster at ringe op til telefonsvareren, skal dette fremgå af SMS-beskeden. Hvis en person har givet et gyldigt samtykke til, at en erhvervsdrivende retter henvendelse via Ringless Voic , og det fremgår af SMS-beskeden, at der er tale om en reklame, og hvem der er afsender af reklamen og der gives let og gebyrfrit adgang til at frabede sig yderligere henvendelser, vil det dermed være lovligt at rette henvendelse til vedkommende via dette medium. 23

24 Beacons En Beacon er en lille, trådløs Bluetooth enhed (Bluetooth Smart). Når enheden er placeret i et fysisk rum eller område, udsendes der gennem Bluetooth Smart teknologi små signaler til de smartphones/ apps, der er i området, og som er i stand til at opfange signalerne. Beacon-enheden estimerer her fra smartphonens præcise placering, hvorefter der kan kommunikeres relevante budskaber som gode tilbud, her og nu tilbud, billeder, video, rabatkuponer osv. til kunderne. Beacon-signaler kan opfanges, hvis kunden har hentet virksomheden/butikkens app på deres smartphones, og smartphonen samtidigt understøtter Bluetooth Smart Ready teknologien. Hvis man ønsker at udvikle apps, der understøtter brugen af Beacons, skal app en konstrueres således, at den beder om tilladelse til at fremsendes såkaldte pushnotifikationer, så kunden derved tager stilling til, om han/hun vil tillade kommunikation af markedsføring via sin smartphone. Typisk præsenteres den, som downloader app en, for en besked som "Denne app vil gerne sende dig push-notifikationer - vil du give tilladelse til det?", når den installeres. Det er naturligvis også muligt generelt at slå push-notifikationerne fra på sin smartphone eller tablet. 24