Samtykke til nyhetsbrev og epostlister

Vi får for tiden mange spørsmål fra virksomheter om hvilke krav det nye personvernregelverket stiller til nyhetsbrev og samtykke, og fra privatpersoner om hvorfor de får så mange henvendelser om å gi samtykke. Må man ha samtykke for å sende et nyhetsbrev? Er samtykker som er gitt tidligere fremdeles gyldige?

For å kunne svare på dette, må vi se på både markedsføringsloven og personopplysningsloven:

Markedsføringslovens krav

Markedsføringsloven sier at man må ha samtykke for å sende ut nyhetsbrev og e-poster i visse tilfeller. Dere må ha samtykke hvis:

  • nyhetsbrevet inneholder markedsføring, altså at man ønsker å påvirke til kjøp av en vare eller tjeneste, og
  • nyhetsbrevet sendes til en bestemt person, enten en privatperson eller en arbeidstaker i en virksomhet (for eksempel navn@virksomhet.no), og
  • det ikke foreligger et eksisterende kundeforhold der dere har mottatt den enkeltes e-postadresse i forbindelse med salg.

Det vil si at man ikke trenger samtykke etter markedsføringsloven dersom nyhetsbrevet ikke inneholder markedsføring. Man trenger heller ikke samtykke dersom nyhetsbrevet inneholder markedsføring, men det foreligger et eksisterende kundeforhold i forbindelse med salg.

Eksempler på hva som trenger og ikke trenger samtykke

En virksomhet sender ut et nyhetsbrev med nye tjenester og produkter. Markedsføringsloven krever samtykke før nyhetsbrev kan sendes.

Et offentlig organ sender ut nyhetsbrev med informasjon om nye regler, nye veiledere og gratis kurs for ansatte i underliggende etater. Markedsføringsloven krever ikke samtykke.

Dersom dere har spørsmål til markedsføringsloven, er Forbrukertilsynet riktig instans. De har laget en veileder der dere kan lese mer om hva som menes med for eksempel markedsføring og eksisterende kundeforhold.

Et samtykke må imidlertid oppfylle kravene i personvernforordningen som nå har trådt i kraft i EU, og som etterhvert også vil gjelde i Norge. Dette er årsaken til at mange får eposter om å gi samtykke for tiden. Dersom virksomheten tidligere har innhentet samtykke, men det ikke oppfyller de nye kravene (for eksempel er det et krav i forordningen om at samtykke må dokumenteres), må det samles inn nye samtykker. Dersom gamle samtykker også oppfyller de nye kravene, er det ikke nødvendig å hente inn nye.

Les mer om hvilke krav som stilles til et samtykke etter personvernforordningen

Personopplysningslovens krav

En virksomhet må alltid ha et behandlingsgrunnlag for å behandle personopplysninger slik som navn, telefonnummer og e-postadresse. Det finnes flere mulige behandlingsgrunnlag, blant annet samtykke, at det er nødvendig å behandle opplysningene for å oppfylle en avtale eller at det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Dere kan lese om ulike behandlingsgrunnlag etter det nye personvernregelverket i vår veileder.

Dersom markedsføringsloven krever samtykke, kan behandlingsgrunnlaget være samtykke. Dersom markedsføringsloven ikke krever samtykke, kan det altså være andre aktuelle behandlingsgrunnlag.

Eksempler

En virksomhet sender ut nyhetsbrev med markedsføring, men det foreligger et eksisterende kundeforhold. Virksomheten kommer frem til at behandlingsgrunnlaget for å bruke kundens e-post til dette er interesseavveiing - at det er nødvendig for å vareta en berettiget interesse og at det veier tyngre enn hensynet til den enkeltes personvern.

En organisasjon sender ut nyhetsbrev om norsk politikk, og nyhetsbrevet inneholder ikke markedsføring. Nyhetsbrevet sendes kun til de som har bedt om informasjon, og e-postadressen til mottakerne er nødvendig for å levere det brukerne har bedt om. Virksomheten kommer frem til at behandlingsgrunnlaget er at det er nødvendig å behandle personopplysninger for å oppfylle en avtale.