Epost GDPR

Nyhetsbrev, e-postmarkedsføring, samtykker (og GDPR)

Merk at teksten nedenfor er ikke oppdatert siden 11. mai 2018, og innholdet kan være endret som følge av endringer i regelverket eller annet.

I forbindelse med at personvernforordningen (GDPR) kommer, innhentes det mange samtykker i disse dager. Men krever egentlig GDPR samtykke for nyhetsbrev og direkte markedsføring ved e-post? 

Det hevdes mye om GDPR, og noe som ofte kommer frem, er at det trengs samtykke til «all» behandling under GDPR. Men samtykke er bare ett av flere grunnlag for behandling av personopplysninger, og ofte bør man heller samtykke unngås enn å benyttes som grunnlag for behandling (se mer i artikkel her).

I GDPR står det derimot at «behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse « (fortalepunkt 47). Det er altså tilstrekkelig at direkte markedsføring kan skje med grunnlag i artikkel 6 nr. 1 punkt f, dvs. at den som sender nyhetsbrevet kan gjøre det om den har en berettiget interesse til å sende det. Slik interesse vil det ofte foreligge, så etter GDPR kreves det egentlig ikke samtykke for å sende nyhetsbrev og direkte markedsføring ved epost. Men hvorfor innhenter så mange samtykker da i disse GDPR-tider?

Markedsføringsloven, ikke GDPR

Det er på grunn av kravet til samtykke i markedsføringslovens regler det må innhentes samtykke. Etter markedsføringsloven § 15 er det forbudt å rette markedsføringshenvendelser til fysiske personer med «kommunikasjonsmetoder som tillater individuell kommunikasjon» uten at det foreligger samtykke på forhånd. Slike «kommunikasjonsmetoder» e-post og SMS, mens for markedsføring på telefon (dvs. tale), så er det ikke krav til samtykke (men her gjelder det andre regler).

Dette er likevel regler vi har hatt i over 15 år (siden 1. mars 2001), som ikke på noen måter er nye. Når reglene kom, så var det for å forhindre såkalt masseutsendelse av epost, eller «spam». GDPR medfører derfor få endringer på disse reglene, se nedenfor, men GDPR har nok ført til at mange har fått opp øynene for at de ikke har fulgt reglene tilstrekkelig, ved at det ikke foreligger gode nok samtykker eller at samtykkene ikke kan dokumenteres. Derfor ser vi at det samles inn og oppdateres mange samtykker nå, men det er altså ikke en direkte følge av at GDPR innføres.

Likevel får GDPR betydning, siden ved utsendelse av markedsføring på e-post mv., så behandles personopplysninger (normalt e-adressen), og da gjelder personopplysningsloven og GDPR for denne behandlingen. Men det kreves altså ikke samtykke etter GDPR (her kan det brukes andre grunnlag, som nevnt ovenfor).

Når kreves det samtykke?

Når må man så ha samtykke for å sende ut markedsføring på e-post mv.? For å avklare dette, må det vurderes om reglene i markedsføringsloven § 15 gjelder. Da er det enkelte forhold som må foreligge, og alle disse forholdene må foreligge for at det kreves samtykke.

Først må så må utsendelsen være gjort i næringsvirksomhet. Her er det også avgjørende hva som ligger i realiteten bak. Er hensikten å få inn penger på noe vis, så er det å anse som næringsvirksomhet. Det skal altså ikke mye til for at det skal anses å være en næringsvirksomhet.

Så må utsendelsen av e-posten mv. være en markedsføringshenvendelse. Markedsføringsloven definerer ikke hva som er «markedsføring» (ironisk nok), så hva som anses å være markedsføring følger av praksis fra bl.a. domstolene og forvaltningen (som Markedsrådet mv.). Hva den næringsdrivende anser som markedsføring har ikke betydning, og det er avgjørende hva som henvendelsen reelt anses å være. Alle henvendelser som tar sikte på å fremme salget av varer eller tjenester er omfattet, så dette omfatter også deltakelse i konkurranser og nyhetsbrev (om de inneholder markedsføring).

Utsendelsen må være til fysiske personer. Sendes det til en generisk epostadresse, som f.eks. post@firma.no, så kan det foretas utsendelse. Men er det til en fysisk person, uavhengig av om det er til en persons jobb-epost eller privat, så gjelder kravet om samtykke. En utsendelse til hans.hansen@firma.no krever altså samtykke. Er det uklart om mottakeren er en fysisk eller juridisk person (dvs. et selskap), må det innhentes samtykke.

Hva kreves av samtykke?

Kravene til samtykke etter markedsføringsloven er tilsvarende som kravene til samtykke etter personverndirektivet av 1995, som personopplysningsloven fra 2001 bygger på. Nå som GDPR kommer, så er det ikke klart om kravene i markedsføringsloven skal være de samme som i GDPR. Personvernforordningen (GDPR) erstatter personverndirektivet, og det er derfor naturlig at kravene til samtykke etter GDPR også gjelder for kravene til samtykke etter markedsføringsloven. Dette blir imidlertid klarere nå ePrivacy-forordningen kommer til neste år, siden kravene til samtykke vil bli nærmere regulert her.

Jeg har skrevet om kravet til samtykket i denne artikkelen tidligere, men oppsummert så er kravet følgende:

Et samtykke er etter definisjonen i GDPR artikkel 4 nr. 11:

«enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».

Det er altså en rekke krav til at et samtykke skal være lovlig, og alle kravene må være innfridd. Disse kravene er:

  • Samtykket må være frivillig avgitt, dvs. at samtykket må gis fritt, som betyr at det ikke må være noen fordeler eller ulemper knyttet til samtykket.
  • Samtykket må være spesifikt, som betyr at samtykket må være dekkende for de enkelte formål som samtykket innhentes for. Det må derfor innhentes separate samtykker for forskjellige formål, og et samlet samtykke må unngås.
  • Samtykket må være utvetydig, som innebærer at samtykket må gis ved erklæring eller en tydelig bekreftelse. Det kreves altså en aktiv handling for at det skal være samtykke, som ved at det krysses av i en boks, klikkes på en knapp (knyttet til samtykket) eller på andre måter behandlingen av personopplysningene aktivt godkjennes.
  • Sist må samtykket være informert som innebærer at det klart følger av samtykket hva det samtykkes i (som at det skal mottas markedsføring), samt formålet/formålene med behandlingen av personopplysninger, og hvem samtykket er gitt til, dvs. hvem som er behandlingsansvarlig, hvilke (typer) personopplysninger som vil bli samlet inn og behandlet, i tillegg til at samtykket kan fritt trekkes tilbake, om det vil skje automatisert behandling/profilering og om personopplysningene vil overføres, herunder om de vil overføres til land utenfor EU/EØS.
  • Det er også krav til innholdet i samtykket, ved at det kreves at samtykket skal gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Til gjengjeld er det ingen krav til formen til samtykket, og dette kan gis både elektronisk, på papir, og også muntlig (men ved muntlig samtykke er det vanskelig å bevise at samtykke er gitt).
  • Merk at det er krav etter GDPR til at samtykker skal kunne dokumenteres, dvs. det skal kunne bevises at det er gitt et samtykke, og hva som var innholdet i samtykket, i ettertid. Kan ikke dette dokumenteres, er ikke samtykket gyldig. Dette kravet gjaldt også tidligere etter markedsføringsloven, men er blitt klarere etter GDPR.
  • Det er også et krav om at mottakere (eller potensielle mottakere) skal kunne enkelt og kostnadsfritt kunne reservere seg mot å motta markedsføringshenvendelser ved e-post mv.

Unntak fra kravet til samtykke

Det gjelder likevel enkelte unntak fra kravet til samtykke for markedsføring på e-post mv. Det viktigste unntaket her er unntaket for eksisterende kundeforhold. Foreligger det et kundeforhold hvor man har fått e-postadressen i forbindelse med salg, så kan det sendes e-post med markedsføring uten at det foreligger samtykke. Dette innebærer at det ikke kan samles inn e-postadresser i forbindelse med kundeundersøkelser, konkurranser mv. og så sende ut markedsføring med disse (selv om det var lovlig å samle inn e-postadressene).

Husk at dersom det er samlet inn e-postadresser, så må dette være lovlig etter personopplysningsloven (og GDPR), og da må det foreligge et lovlig grunnlag for å samle inn e-postadressene (ellers må det samtykke til). E-postadressene må også kun benyttes til det formål som de ble samlet inn, slik at e-postadresser samlet inn for å f.eks. sende kunden kvittering etter salg, gir ikke grunnlag for å bruke e-postadressen til å sende e-post med markedsføring senere.

Hva er så et eksisterende kundeforhold? Det må ha vært et kundeforhold hvor det er solgt en vare eller tjeneste mot betaling. Gratistjenester vil ikke kunne medføre et «kundeforhold», så har man gitt noe gratis til noen, så er dette ikke nok til å sende markedsføring i etterkant. Er det en tjeneste eller ytelse som leveres over tid, som f.eks. et avisabonnement, så foreligger kundeforholdet så lenge avisen leveres. Men er det et enkeltsalg, f.eks. over disk eller i en nettbutikk, så må det vurderes om det er naturlig at det er videre kontakt mellom kunden og den næringsdrivende. Det er også av betydning om kunden oppfatter at det er et eksisterende kundeforhold. At kunden kan reklamere i en periode etter salget, f.eks. i 3 eller 5 år, medfører ikke et eksisterende kundeforhold. Det må sendes ut markedsføringshenvendelse kun i rimelig tid etter et salg er gjort, ellers vil kundeforholdet anses som opphørt. Og det er kun det selskap som har gjort handelen som kan sende ut markedsføring, ikke andre selskap f.eks. i et konsern.

Foreligger det et eksisterende kundeforhold, kan det kun sendes markedsføringshenvendelse som gjelder den næringsdrivendes egne varer, tjenester eller andre ytelser, og da bare tilsvarende varer, tjenester mv. som kundeforholdet bygger på. Det er altså grenser for hva det kan sendes ut e-post om. Har man solgt en bok, så kan det sendes ut markedsføring om andre bøker. Men dette unntaket tolkes strengt, så forbrukerombudet har brukt som eksempel at har man abonnement på en avis, så kan det ikke sende reklame for blader.

Andre krav

I tillegg til ovennevnte gjelder også opplysningsplikten ved elektronisk markedsføring etter ehandelsloven § 9. Etter denne bestemmelsen skal det klart fremgå hvem markedsføringen skjer på vegne av, dvs. det må være klart i nyhetsbrevet hvem det markedsføres på vegne av. I tillegg er det følgende krav i innholdet i markedsføringen:

  • Det skal opplyses om avgifter og leveringsomkostninger om det opplyses priser, herunder totalkostnadene for forbrukere (inkl. alle avgifter og leveringskostnader).
  • Reklametilbud, som for eksempel rabatter, premier og gaver, skal lett kunne identifiseres. Opplysninger om vilkår for å benytte seg av tilbudene skal være klare og lett tilgjengelige.
  • Salgsfremmende konkurranser eller spill skal lett kunne identifiseres. Opplysninger om vilkår for å delta i konkurransene eller spillene skal være klare og lett tilgjengelige.

Mer informasjon

Forbrukertilsynet har laget en veileder for markedsføring via e-post, SMS mv. som gir god oversikt og detaljer for kravene til bruk av samtykke. Denne anbefales å benyttes i enkeltspørsmål. Du finner den her.

Kurs for smu00e5 og mellomstore bedrifter