GDPR og nyhedsbreve - sådan er reglerne for tilmeldingsformular

GDPR og nyhedsbreve. Et af de helt store spørgsmål i forbindelse med GDPR er: "Hvordan skal min tilmeldingsformular til nyhedsbreve mv. se ud?" Men hvordan er reglerne i persondataforordningen? Hvad er kravene? Læs denne guide og få svaret.

Der har (desværre) været mange rygter på nettet omkring dette. Nogle mener, at man skal have en check-boks, hvor personen der skal tilmelde sig, skal sætte hak. Andre mener, at dette står der ikke noget om i GDPR.

Nogle mener, at man skal sende en bekræftelsesmail, hvor man beder personen om at bekræfte sin e-mail og totrins-verifikation, og at personen accepterer at give samtykke via denne bekræftelsesmail (kaldes også double opt-in). Andre mener ikke, at det er nødendigt.

Alt i alt hersker der meget tvivl om netop tilmelding til nyhedsbreve og kravene i GDPR. 

Lad os derfor se lidt nærmere på check-boks spørgsmål, double opt-in spørgsmål og generelle krav til samtykke og markedsføringsloven.

Check-boks eller ej?

Skal man have en check-boks, når folk tilmelder sig nyhedsbrev eller lignende? Altså, sådan en lille boks, som personen skal sætte 'hak' i for at kunne tilmelde sig nyhedsbrevslisten. Den kunne for eksempel se sådan her ud:

Efter GDPR har der været øget fokus på reglerne for samtykke og markedsføring. Mange har sagt, at hvis man ville være sikker på at overholde GDPR, så skal man også have sådan en check-boks. Men stiller GDPR og markedsføringsloven overhoved krav til sådan en check-boks?

Det korte svar er, at det afhænger af, om det er i forbindelse med køb af en vare eller lignende, eller om tilmeldingen sker med det formål at tilmelde sig nyhedsbrevet fx fra en blog-post eller lignende. Man kan altså dele det op i 2 scenarier:

Er tilmeldingsfeltet i forbindelse med køb-siden?

Der kan være 2 scenarier. De to er afgørende for, om der skal være afkrydsningsboks eller ej:

1. Kunden er ved at købe en vare eller lignende. Kunden bliver mødt med en 'tilmeld til nyhedsbrev'-afkrydsningsboks, inden kunden færdiggør købet
2. Du beder udelukkende samtykke til et nyhedsbrev, og tilmeldingsfeltet fremgår ikke i forbindelse med købet. I stedet fremgår tilmeldingsfeltet fx på forsiden eller i 'side-baren' på et blog-post eller lignende.

Hvis der er tale om det første scenarie, hvor kunden er ved at skulle købe en vare og i forbindelse med dette bliver mødt af et tilmeldingsfelt til nyhedsbrev, er der krav om, at der skal være en check-boks, som IKKE må være forhåndsudfyldt (der må ikke være sat 'hak' i den på forhånd, da det skal være et aktivt tilvalg).

Hvis du ønsker at kunden skal kunne tilmelde sig nyhedsbrevet i forbindelse med, at kunden foretager et køb, skal du have en check-boks, hvor kunden aktivt selv skal sætte 'hak'.

Hvis der er tale om det andet scenarie, hvor kunden ikke er ved at købe en vare, men for eksempel er på virksomhedens forside eller læser på virksomhedens blog-post, så er der ikke noget krav om, at der skal være en check-boks.

Det skyldes, at i det tilfælde har tilmeldingsfeltet, hvor personen skriver sin e-mailadresse, i forvejen til formål at få samtykke.

Når personen skriver sin e-mailadresse i forbindelse med et køb, kan formålet være, at kunden skal kunne modtage ordrebekræftelsen på e-mail eller andet. Derfor har det tilmeldingsfelt ikke udelukkende til formål at få samtykke til markedsføring, og derfor skal du have en ekstra check-boks for at måtte sende e-mails i markedsføringsøjemed.

Konklusionen er derfor:

• Der skal være afkrydsningsfelt i tilmelding til nyhedsbrev ved 'check-out'/køb af varer
• Der er ikke noget krav om afkrydsningsfelt ved separat tilmelding til nyhedsbrev fx på bloggen

Hvad siger andre om dette?

Dette er vores, Persondatakonsulenternes, klare anbefaling til vores kunder. Men er der andre 'GDPR-nørder' udover os, der har samme holdning?

Ja!

Christina Klitsgaard har i et af hendes aldeles fremragende nyhedsbreve (du kan tilmelde dig til hendes nyhedsbrev her - kan godt anbefales) snakket med Frank Bøggild. Han er advokat hos det store advokatkontor Kromann Reumert og medforfatter til bogen "Markedsføringsloven", og han har godt styr på markedsføringsloven og GDPR.

Omkring spørgsmålet til den ekstra check-boks nævner Frank Bøggild:

"Den ekstra checkboks er ikke et krav, når man udelukkende beder om samtykke til et nyhedsbrev. Checkboksen er til gengæld påkrævet, når samtykke sker i forbindelse med et køb - er du fx i gang med at købe en flybillet hos SAS, så skal SAS i forbindelse med dit køb bede om dit samtykke til nyhedsbreve i en særskilt checkboks, som du selv aktivt skal sætte flueben i. Men det gælder altså ikke tilmeldingsfelter, hvor feltet i forvejen har til formål at få samtykke'."

Indtil praksis viser andet, er dette derfor anbefalingen.

Hvad så når personen har tilmeldt sig? Skal personen så bekræfte sin mailadresse ved at klikke på et link på en fremsendt mail, eller er det ikke nødvendigt? Det er et spørgsmål om det, man kalder for "single opt-in" eller "soft opt-in" og "double opt-in". Få svaret herunder.

Single opt-in eller double opt-in?

Nu har vi styr på, hvornår der skal være en check-boks som personen skal sætte 'hak' i. 

Men derefter er spørgsmålet, om der skal sendes en bekræftelsesmail med et link, som personen skal klikke på. 

Det korte svar er, at for at overholde reglerne skal der sendes en bekræftelsesmail, som personen skal klikke på 

Grunden til du skal dette er mest af alt markedsføringsloven. Og den har været gældende længe - også før GDPR!

I markedsføringsloven står der, at du skal overholde reglerne for uanmodet markedsføring (spam). Der står nemlig i markedsføringslovens § 10:

"§ 10. En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af elektronisk post, et automatisk opkaldssystem eller telefax med henblik på direkte markedsføring, medmindre den pågældende har givet sit forudgående samtykke hertil. Den erhvervsdrivende skal give mulighed for let og gebyrfrit at tilbagekalde samtykket."

Hvis du ikke sender en bekræftelsesmail, kan en person skrive hvilken som helst e-mailadresse, som ikke har givet forudgående samtykke. Når du sender nyhedsbrev ud næste gang, vil du derfor kunne risikere, at en person har skrevet en andens e-mailadresse, og når du sender nyhedsbreve ud til denne e-mailadresse, vil det være spam.

Derudover stiller GDPR krav til, at du kan påvise samtykket. Det betyder, at du skal kunne påvise, hvem der har givet samtykket, hvornår osv, hvilket kan gøres med IP-adresse, det man kalder for "time-stamp" og lignende. Nogle nyhedsbrevssystemer kan kun gøre dette ved klik på en bekræftelsesmail.

Af hensyn til markedsføringlovens regler om spam (markedsføring uden samtykke) og GDPR, bør du derfor have double opt-in.

Du kan udnytte double opt-in mailen og gøre samtykket endnu mere informeret og overholde din oplysningspligt efter forordningens artikel 13 - se nærmere om disse regler længere nede. Selvom du måske mister nogle e-mailadresse ved at have double opt-in, kan du være sikker på, at de tilmeldte har afgivet den rigtige e-mailadresse, før du sender dem e-mails og sikker på at overholde lovgivningen.

Krav til samtykke

I GDPR er der også en række krav til selve samtykket - altså dét at personen giver dig lov til at blive skrevet op på nyhedbrevslisten.

Kravene til et samtykke er efter forordningens artikel 14, at samtykket skal være:

• Informeret
• Specifikt
• Frivilligt
• Utvetydigt

Det kan hurtigt blive lige lovlig nørdet inden for juraen. Lad os derfor starte et lidt andet sted.

Vær ærlig og tydelig

For at overholde kravene til samtykke efter GDPR, så er første anbefaling at være ærlig og tydelig.

Det nytter ikke noget, at du på side 82 i handelsbetingelserne skriver, at hvis kunden tilmelder sig en konkurrence på din hjemmeside, hvor de også afgiver e-mailadresse, så vil kunden også modtage e-mails med tilbud på dine produkter hver uge. 

Det handler derfor om at være fornuftig. 

Du kan for eksempel - ligesom vi ofte selv gør - skrive:

"Når du tilmelder dig til nyhedsbrevet fra xxx, giver du os samtykke til at sende dig nyheder, tilbud, information om nye produkter og services, invitationer til arrangementer mv. Du kan i vores persondatapolitik læse mere om hvordan vi behandler dine personoplysninger, samt hvilke rettigheder du har." Derudover kan du uddybe og overholde oplysningspligten i bekræftelsesmailen. 

Men hvor går grænsen? Hvis du i en overskrift i tilmeldingsformularen skriver "Få 20% rabat på dit første køb - skriv din e-mail her", vil den så gå?

For at opfylde kravene til GDPR om, at samtykket bl.a. skal være informeret, er du nødt til at skrive, hvad du derudover vil bruge vedkommendes e-mail til, inden de samtykker. Hvis du ikke bruger den til noget, men bare sender en 20% rabatkupon, vil det nok være fint.

Men hvis du bruger e-mailadressen til at sende tilbud og markedsføre dine produkter, skal du også skrive dette. Du behøves ikke skrive det i samme størrelse om overskriften, men den vil nok heller ikke gå, hvis du skriver det med småt nederst i formularen.

Pas desuden på at skrive noget, som du ikke kan overholde. Pas på med at skrive "Spar flere tusinde kroner", hvis personen måske kun vil kunne spare nogle få hundrede kroner.

Vær ærlig og tydelig og brug din sunde fornuft. 

Husk også din oplysningspligt

Efter forordningens artikel 13 har du en oplysningspligt over for den person, der tilmelder sig nyhedsbrevet.

Det betyder, at du for eksempel skal oplyse bl.a. om:

1. Identitet og kontaktdetaljer for dataansvarlige (DPO, hvis dette er udpeget)
2. Formål og behandlingshjemmel
3. Modtager(e) eller kategorier af modtagere af oplysningerne
4. Overførsler til tredjelande
5. Tidspunkt for sletning eller kriterier herfor
6. Rettighedskatalog
7. Retten til at tilbagetrække samtykke
8. Adgangen til at klage til datatilsynet
9. Om der sker automatiserede afgørelser

Hvis du ikke opfylder oplysningspligten, kan det medføre klager fra de registrerede, som Datatilsynet skal reagere på for eksempel ved at uddele bøde. Det er derfor vittigt, at du oplyser om det, som du efter GDPR har pligt til.

Hvis du har brug for hjælp for eksempel til tekst til overholdelse af oplysningspligten eller andet i forbindelse med nyhedsbreve og GDPR, er du velkommen til at kontakte os for at høre nærmere.

Markedsføring af tilsvarende produkter - markedsføringslovens § 10, stk. 2

Der er en enkelt lille 'undtagelse', som vi er nødt til at nævne.

Hvis du har kunder, der har foretaget et køb hos dig, behøves du faktisk ikke altid at skulle have et aktivt samtykke for at kunne sende e-mails til dem i markedsføringsøjemed.

I markedsføringslovens § 10, stk. 2 står der nemlig:

"Stk. 2. En erhvervsdrivende, der fra en kunde har modtaget dennes elektroniske adresse i forbindelse med salg af produkter, kan uanset stk. 1 markedsføre egne tilsvarende produkter til kunden via elektronisk post. Det forudsætter dog, at den erhvervsdrivende giver kunden klar og utvetydig mulighed for let og gebyrfrit at frabede sig dette både i forbindelse med afgivelsen af adressen til den erhvervsdrivende og ved hver efterfølgende henvendelse."

Hvis du har fået en kundes e-mailadresse, må du altså gerne sende e-mails for at markedsføre "egne tilsvarende produkter" til kunden. Kunden skal derudover også have mulighed for let og gebyrfrit at framelde sig - og det skal være klart og utvetydigt.

Forbrugerombudsmanden har bl.a. været ude og udtale sig om, hvornår der er tale om "egne tilsvarende produkter". Forbrugerombudsmanden udtalte sig i en sag om en brancheforening for bilforhandlere:

"Tilsvarende produkter eller tjenesteydelser skal ikke nødvendigvis forstås som fuldstændig identiske produkter eller tjenesteydelser, men derimod tilsvarende vare- og tjenesteydelsesgrupper.

Forbrugerombudsmanden meddelte brancheforeningen, at service og reparation af bilen, hvis det foretages af bilforhandleren selv, vil være omfattet af bilforhandlerens ”egne tilsvarende produkter eller tjenesteydelser”, jf. markedsføringslovens § 6, stk. 2.

Derimod vil syn af bilen, orientering om forhandlerens afdeling i Flensborg og et nyhedsbrev om bilbranchen/ny lovgivning ikke være omfattet af bilforhandlerens ”egne tilsvarende produkter eller tjenesteydelser”, jf. markedsføringslovens § 6, stk. 2."

Her hos Persondatakonsulenterne hjælper vi dig gerne med bedre forståelse af både GDPR og markedsføringslovens regler.

Kontakt os her for at høre nærmere om, hvordan vi kan hjælpe dig.

Brug for mere hjælp?

Har du brug for mere hjælp - for eksempel til GDPR og nyhedsbreve?

Så er du altid velkommen til at tilmelde dig vores nyhedsbrev. I vores nyhedsbrev sender du opdateringer, nyheder, vejledninger og generelle tips og tricks til GDPR. 

Du kan tilmelde dig vores nyhedsbrev her.

Vi hjælper også gerne med rådgivning, foredrag eller lignende. Vi er eksperter inden for GDPR og markedsføringsloven og kan bl.a. hjælpe dig med kravene til GDPR og nyhedsbreve herunder samtykker, oplysningspligt, og kravene til tilmeldingsformularen.

Kontakt os her for at få hjælp

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.