Samtykke sms marketing lyder ofte som et juridisk detaljespørgsmål. Enten har man et ja, eller også har man ikke. Men i praksis er samtykke blevet noget langt mere operationelt. For virksomheder, der arbejder med sms, e-mail, kundedata og automatiserede flows, er samtykke ikke bare et stykke tekst i en formular. Det er noget, der skal kunne indsamles korrekt, knyttes til den rigtige kanal, dokumenteres, respekteres og trækkes tilbage uden friktion. Forbrugerombudsmanden gør det klart, at det er ulovligt at sende markedsføring via mail, sms og anden elektronisk post uden forudgående samtykke, og at tilbagekaldelse skal være let og gebyrfri. Samtidig understreger Datatilsynet, at samtykke kun er én mulig behandlingshjemmel efter GDPR, men at behandlinger, der bygger på samtykke, skal stoppe, når samtykket trækkes tilbage, medmindre der findes en anden lovlig hjemmel.
Det er netop derfor, samtykke er rykket fra jura til drift. Når virksomheder bygger segmenter, kampagneflows og automatiske beskeder, former samtykke hele den tekniske og kommercielle logik: hvem må kontaktes, via hvilken kanal, med hvilket indhold og på hvilket tidspunkt. Forbrugerombudsmandens spamvejledning understreger eksempelvis, at et samtykke til markedsføring pr. mail ikke kan udstrækkes til også at omfatte sms, og at et samtykke knytter sig til det konkrete telefonnummer eller den konkrete mailadresse, som er oplyst. Det gør samtykke til et spørgsmål om datamodeller og systemdesign, ikke bare ordvalg i en checkbox.
Artiklen her forklarer, hvorfor samtykke fylder mere i digital kommunikation, hvad virksomheder ofte overser i praksis, og hvorfor dokumentation og processer er blevet lige så vigtige som selve indsamlingen.
Hvorfor samtykke fylder mere i digital kommunikation
Samtykke fylder mere, fordi digital kommunikation er blevet mere automatiseret, mere kanalopdelt og mere datadrevet. Jo flere beskedflows en virksomhed bygger, desto vigtigere bliver det at vide præcist, hvem der må kontaktes, og på hvilket grundlag. Forbrugerombudsmanden slår fast, at spamforbuddet gælder bredt for elektronisk markedsføring via mail, sms og lignende, og at det gælder over for både forbrugere, virksomheder og offentlige myndigheder. Det er ikke kun en regel for B2C-marketing. Det er en grundregel for elektronisk markedsføring som sådan.
Samtidig er forventningerne til dokumentation blevet skarpere. Forbrugerombudsmandens vejledning siger direkte, at virksomheden skal kunne dokumentere, at den har indhentet et gyldigt samtykke, eller at betingelserne for at bruge undtagelsen for tidligere kunder er opfyldt. Vejledningen anbefaler skriftlige eller digitale samtykker, netop fordi mundtlige samtykker er svære at dokumentere. EDPB’s samtykkevejledning peger tilsvarende på, at den dataansvarlige skal kunne demonstrere, at samtykke er indhentet gyldigt, og at samtykkemekanismen opfylder kravene i GDPR.
Det gør samtykke til mere end en juridisk formalitet. Når kommunikationen automatiseres, skal samtykke kunne følge med i systemerne. Ellers risikerer virksomheden at bygge flows, som teknisk fungerer, men juridisk og operationelt hviler på et svagt grundlag. Derfor fylder samtykke mere nu: ikke fordi reglerne alene er nye, men fordi beskedkommunikation er blevet en mere integreret del af den digitale drift.
Hvad virksomheder ofte overser i praksis
Det, mange virksomheder overser, er, at et ja ikke bare er et ja. Samtykket skal være frivilligt, informeret, utvetydigt og specificeret. Forbrugerombudsmandens vejledning siger direkte, at et forhåndsafkrydset felt ikke er et informeret og utvetydigt samtykke, og at samtykke til markedsføring skal være adskilt fra handelsvilkår og betingelser. Hvis samtykket blandes sammen med andre vilkår, svækkes dets gyldighed.
En anden praktisk blind vinkel er kanalspecificitet. Mange tænker stadig samtykke som et generelt “ja til kontakt”, men spamvejledningen siger tydeligt, at et samtykke til markedsføring pr. mail ikke automatisk kan bruges til sms, og at “mail, sms mv.” ikke kan udstrækkes til vilkårlige andre kontaktformer. Det betyder, at virksomheder ikke bare kan samle alle kontakter i én pulje og antage, at enhver elektronisk kanal er dækket. Kanalvalget skal kunne spores til det konkrete samtykke.
Mange overser også, at samtykke kan blive forældet eller bortfalde ved passivitet. Forbrugerombudsmanden vurderer, at et samtykke kan bortfalde, hvis der går lang tid, uden at det anvendes, og nævner specifikt, at samtykker indhentet i konkurrencesammenhænge kan være bortfaldet efter omkring et år uden brug. Det er en vigtig driftsmæssig pointe, fordi gamle samtykker i databasen ikke nødvendigvis er brugbare samtykker i aktuelle flows. Et segment er ikke nødvendigvis lovligt, bare fordi et telefonnummer står der.
Hvordan samtykke påvirker segmentering og automation
Når virksomheder arbejder med automatiseret kommunikation, bliver samtykke en del af segmenteringslogikken. Det er ikke nok at vide, hvem kunden er, eller hvad kunden tidligere har gjort. Systemet skal også vide, om kunden må kontaktes med markedsføring, på hvilken kanal og i hvilket omfang. Ellers risikerer man, at gode automationsflows producerer ulovlige udsendelser. Forbrugerombudsmanden understreger, at virksomheden er ansvarlig for at sikre dokumentation for gyldigt samtykke, også hvis samtykket er indhentet af en underleverandør eller leadvirksomhed.
Det gør samtykke til en del af både CRM-design og marketing automation. Et samtykkefelt er ikke længere bare et felt. Det bør i praksis være en datastruktur, der også rummer kanal, tidspunkt, tekstversion, kilde og status for eventuel tilbagekaldelse. EDPB understreger netop accountability-princippet: den dataansvarlige skal kunne vise, hvordan samtykket blev givet, og hvordan workflowet omkring samtykket så ud på det tidspunkt. Forbrugerombudsmandens spamvejledning peger tilsvarende på, at dokumentationen bør kunne omfatte udskrift, film eller billedserie af det sted, hvor samtykket blev givet.
Segmentering bliver også påvirket af undtagelsen for tidligere kunder. Markedsføringslovens § 10, stk. 2 giver i visse tilfælde mulighed for at markedsføre egne tilsvarende produkter til en tidligere kunde uden særskilt samtykke, hvis en række betingelser er opfyldt. Men spamvejledningen understreger, at undtagelsen skal fortolkes indskrænkende, og at virksomheden skal kunne dokumentere, hvordan købsflowet så ud, og at der er tale om egne tilsvarende produkter. Det gør undtagelsen operationelt krævende: den kræver præcis produktlogik og dokumentation, ikke bare en løs antagelse om “eksisterende kunder”.
Hvorfor dokumentation er lige så vigtig som indsamling
I praksis er dokumentation ofte det sted, hvor virksomheder opdager, at deres samtykkelogik er for svag. Forbrugerombudsmanden skriver meget klart, at det er virksomheden, der skal kunne dokumentere, at modtageren har givet et gyldigt samtykke, og at samtykket opfylder lovgivningens krav. Hvis virksomheden ikke selv har indhentet samtykket, men har købt eller modtaget det fra en anden, ligger ansvaret stadig hos virksomheden, der sender markedsføringen.
Dokumentation handler derfor ikke kun om at opbevare et telefonnummer i en liste. Det handler om at kunne rekonstruere samtykkets kontekst. Hvilken tekst så modtageren? Hvilken kanal blev der givet samtykke til? Hvornår blev det givet? Hvilken formulering blev brugt om indhold og afsender? Forbrugerombudsmanden anbefaler, at dokumentationen netop omfatter det sted, hvor samtykket blev givet, fordi det er afgørende for at vurdere, om samtykket var frivilligt, informeret og specifikt.
Det er også vigtigt, fordi dokumentation ikke kun bruges til at bevise et ja. Den skal også kunne håndtere et nej. Forbrugerombudsmanden understreger, at tilbagekaldelse skal være let og gebyrfri, og at tilbagekaldelse som minimum skal kunne ske på samme medie, som markedsføringen sendes på. Hvis virksomheden sender markedsføring på sms, skal modtageren kunne tilbagekalde sit samtykke via sms. Forbrugermyndighedernes nyere sag om tilbagekaldelse via mailklient viser samtidig, at virksomheder skal efterkomme en gyldig afmelding, når de modtager den.
Hvad udviklingen kræver af systemer og processer
Når samtykke bliver en driftssag, stiller det krav til systemer og processer. For det første skal samtykke kunne knyttes til de rigtige datakilder. Hvis telefonnumre flyder ind fra mange kanaler — webformularer, konkurrencer, kassesystemer, events, CRM-importer — skal virksomheden vide, hvilken kilde der gav hvilket grundlag for kommunikation. Ellers bliver det svært at afgøre, hvilke kontakter der må indgå i hvilke flows.
For det andet skal systemerne kunne håndtere forskellen mellem marketing og service. Forbrugerombudsmanden gør det klart, at spamforbuddet kun gælder henvendelser med henblik på markedsføring, og at der findes servicemeddelelser, som ikke er omfattet på samme måde. Men vejledningen viser også, at grænsen er vigtig: en servicemeddelelse må ikke glide over i branding eller markedsføring. Det betyder, at virksomheder skal kunne designe flows, hvor servicebeskeder og marketingbeskeder behandles forskelligt, også selv om de sendes på samme kanal.
For det tredje skal opbevaring og sletning tænkes med. Datatilsynet understreger, at når behandling hviler på samtykke, skal behandlingen ophøre ved tilbagekaldelse, medmindre der findes en anden hjemmel. Samtidig peger Forbrugerombudsmandens vejledning på, at virksomheden kan have behov for at opbevare de personoplysninger om samtykket, som er nødvendige for at dokumentere, at der tidligere forelå et gyldigt samtykke, indtil et eventuelt strafansvar er forældet. Det betyder, at virksomheder skal skelne mellem at bruge data til markedsføring og at opbevare visse oplysninger til dokumentationsformål. Det er et godt eksempel på, hvorfor samtykke i praksis er blevet et systemspørgsmål og ikke bare et formularspørgsmål.
Marketing kontra servicebeskeder
Forskellen mellem marketing og servicebeskeder er central, fordi den former hele flowdesignet. Forbrugerombudsmanden understreger, at det kun er henvendelser, der sendes med henblik på markedsføring, som er omfattet af spamforbuddet. En neutral opfordring til at anmelde en købsoplevelse kan som udgangspunkt sendes uden samtykke, hvis den ikke indeholder markedsføring. Tilsvarende kan servicemeddelelser i løbende kundeforhold være lovlige uden samtykke, hvis de ikke udvikler sig til branding eller reklame.
Det lyder enkelt, men i drift er det ofte dér, fejl opstår. En besked, der starter som service, kan glide over i markedsføring, hvis den pludselig promoverer virksomheden eller tilføjer tilbud, branding eller henvisninger til produkter. Derfor bør virksomheder ikke bare tænke i “kan vi sende denne sms?”, men i “hvilken type flow er det, og hvilket grundlag hviler det på?”. Det er den operative disciplin, der i praksis afgør, om samtykkelogikken holder.
Datakilder og opbevaring
Datakilder er blevet et nøglepunkt, fordi samtykke sjældent lever ét sted længere. Det kan indhentes i formularer, apps, events, e-commerce-flow eller gennem partnere. Forbrugerombudsmanden gør det klart, at ansvar ikke forsvinder, fordi samtykket er indhentet af en anden. Virksomheden, der sender markedsføringen, skal stadig kunne dokumentere, at samtykket er lovligt. Det betyder, at datakilder ikke bare er inputkanaler, men ansvarskanaler.
Opbevaring er tilsvarende blevet mere nuanceret. Datatilsynet understreger, at oplysninger ikke må opbevares længere end nødvendigt, men at der ikke findes en generel, fast slettefrist for alle tilfælde. Samtidig viser Forbrugerombudsmandens vejledning, at nogle samtykkeoplysninger kan være nødvendige at opbevare til dokumentationsformål. Derfor er god drift ikke bare at slette alt ved første afmelding eller at gemme alt for en sikkerheds skyld. God drift kræver, at virksomheden skelner mellem aktiv brug til kommunikation og begrænset opbevaring til dokumentation.
Samtykke er blevet en del af den tekniske virkelighed
Det mest interessante ved udviklingen er derfor, at samtykke i dag sjældent kan håndteres som et isoleret compliance-spørgsmål. Det er blevet en del af den tekniske og operationelle virkelighed i digital kommunikation. Det former segmentering, flows, kanalvalg, dokumentation og afmeldingslogik. Det påvirker, hvordan CRM-systemer bygges, hvordan marketing automation designes, og hvordan virksomheder skelner mellem service og markedsføring.
Derfor er det heller ikke nok at have et telefonnummer og et “ja” et sted i databasen. Virksomheder, der vil arbejde seriøst med digital kommunikation, må kunne svare på flere spørgsmål: hvilket samtykke blev givet, til hvad, hvornår, via hvilken kanal, med hvilken tekst, og hvordan kan det trækkes tilbage? Det er i den forstand, samtykke er blevet en driftssag. Ikke fordi jura er blevet mindre vigtig, men fordi juraen nu i højere grad lever midt i systemer, processer og automatiseringer.
