Big data
Hvis der i et datasæt indgår personoplysninger, er det vigtigt for den dataansvarlige at iagttage den registreredes rettigheder og de grundlæggende principper for databehandling. Det kan for eksempel være princippet om dataminimering, der indebærer at den indsamlede og behandlede data skal begrænses til det, som er nødvendigt i forhold til formålet med behandlingen. Den dataansvarlige skal endvidere sikre sig, at behandlingen er lovlig og gennemsigtig for den registrerede.
Datatilsynet anbefaler, at dataansvarlige, der benytter sig af big data, sikrer sig, at de indsamlede oplysninger så vidt muligt er aggregerede og anonymiserede, så det ikke er muligt at identificere enkeltpersoner.
I de tilfælde, hvor enkeltpersoner kan identificeres, er det afgørende, at den dataansvarlige har en behandlingshjemmel. Det er Datatilsynets opfattelse, at dette først og fremmest bør ske med den registreredes samtykke. Et databeskyttelsesretligt samtykke skal opfylde en række betingelser for at være gyldigt. Samtykket skal blandt andet være specifikt og udtrykkeligt. Man kan ikke indhente generelle samtykker eller indhente "passive" samtykker. Du kan læse mere herom i Datatilsynets vejledning om samtykke.
Hvis det ikke er muligt at få den enkelte registreredes samtykke, indeholder databeskyttelsesreglerne også andre behandlingshjemler, som kan være relevante for anvendelsen af big data, der indeholder personoplysninger. Det vil afhænge af formålet med behandlingen samt typen af oplysninger, hvorvidt det er muligt at anvende den enkelte behandlingshjemmel.
Eftersom det ofte kan være svært for enkeltindivider at gennemskue, hvorfor og hvornår der behandles oplysninger om dem, er det vigtigt at den dataansvarlige iagttager oplysningspligten. Du kan læse mere om dette i Datatilsynets vejledning om den registreredes rettigheder.
Profilering
Profilering omfatter som nævnt enhver behandler personoplysninger med en form for automatisk behandling med henblik på at evaluere personlige forhold. Udover de almindelige databeskyttelsesregler skal den dataansvarlige være særligt opmærksom på to forpligtelser.
For det første er det ulovligt at lave afgørelse eller lignende foranstaltninger, der retsligt eller tilsvarende påvirker den registrerede, på baggrund af en udelukkende automatisk behandling, herunder profilering. Den registrerede skal således altid have mulighed for menneskelig indgriben i disse tilfælde, som kan have reel indflydelse på afgørelsen eller foranstaltningen. Den registrerede skal i den forbindelse også oplyses om logikken bag en automatisk afgørelse.
For det andet skal den dataansvarlige være opmærksom på, at hvis profilering udføres med henblik på direkte markedsføring, har den registrerede en absolut ret til at frasige sig sådan en behandling.
Du kan læse mere om profilering og forbuddet mod automatiske afgørelser baseret på profilering i Datatilsynets vejledning om den registreredes rettigheder.
Markedsføring
Databeskyttelsesforordningen og databeskyttelsesloven indeholder en række særlige regler for markedsføring.
For det første har den registrerede ret til at gøre indsigelse mod behandling af sine personoplysninger med henblik direkte markedsføring. Hvis den registrerede fremsætter en sådan indsigelse, må personoplysningerne ikke længere anvendes til dette formål. Dette gælder også, hvis en dataansvarlig udfører profilering med henblik på markedsføring.
Den dataansvarlig skal uanset om den registrerede gør indsigelse eller ej sikre sig, at den registrerede ikke har frabedt sig henvendelser i markedsføringsøjemed.
For det andet må den dataansvarlige ikke videregive eller behandle personoplysninger om en forbruger til eller på vegne af en anden virksomhed med henblik på direkte markedsføring uden forbrugerens udtrykkelige samtykke efter markedsføringslovens § 10.
Dette forbud gælder ikke, hvis der er tale om "generelle kundeoplysninger", der danner grundlag for inddeling i kundekategorier, og hensynet til den registrerede ikke overstiger den erhvervsdrivendes interesse. Den dataansvarlige skal i dette tilfælde sikre sig, at forbrugeren ikke har frabedt sig henvendelser i markedsføringsøjemed via CPR. Generelle kundeoplysninger omfatter ikke detaljerede oplysninger om den registreredes forbrugsvaner, som for eksempel kundens køb af en bil på kredit eller hvilke varer forbrugeren har købt.
For det tredje må dataansvarlige, der med henblik på direkte markedsføring sælger fortegnelser over grupper af personer, eller som for en tredjemand foretager adressering eller udsendelse af meddelelser til disse gruppe, kun behandle følgende oplysninger:
- Oplysninger om navn, adresse, stilling, erhverv, e-mail-adresse, telefon- og telefaxnummer
- Oplysninger, der indgår i erhvervsregistre, som i henhold til lov er beregnet til at informere offentligheden
- Oplysninger, som den registrerede i overensstemmelse med markedsføringslovens § 10 har givet sit samtykke til blive behandlet
Følsomme oplysninger må aldrig indgå i den nævnte behandling.
Markedsføring skal endvidere overholde en række andre regler, der hører uden for databeskyttelsesretten og Datatilsynets kompetence.