Inteligo-dommen, og forholdet mellom GDPR og markedsføringsloven i «eksisterende kundeforhold»

EU-domstolen avsa nylig dom i saken Inteligo Media (C-654/23). Saken gjaldt e-privacydirektivets artikkel 13. nr. 2, som er gjennomført i norsk rett gjennom markedsføringsloven § 15.

Dommen gjelder utsending av markedsføring i «eksisterende kundeforhold» og forholdet mellom e-privacydirektivet og GDPR. Spørsmålet var blant annet om et selskap trengte behandlingsgrunnlag i GDPR artikkel 6 nr. 1 når det oppfylte vilkårene i markedsføringsloven § 13 tredje ledd. Domstolen svarte nei på dette.

Kort om sakens faktum

Inteligo Media driver en rumensk nettjeneste som publiserer juridisk informasjon. Brukerne kunne lese et begrenset antall artikler uten innlogging. Ved å opprette en gratis konto fikk de flere artikler per måned, et daglig nyhetsbrev på e-post med lovnyheter og lenker til artikler, og mulighet til å kjøpe betalt abonnement med full tilgang.

Den rumenske tilsynsmyndigheten mente at utsendelsen av nyhetsbrevet manglet gyldig samtykke etter GDPR og ila Inteligo en administrativ bot. Selskapet forsvarte seg med at utsendelsen var lovlig etter e-privacy-direktivet sitt unntak for eksisterende kundeforhold, det vi i Norge kjenner som soft opt-in i § 15 tredje ledd.

Markedsføringsloven § 15 tredje ledd og eksisterende kundeforhold

Hovedregelen i markedsføringsloven § 15 er at elektronisk markedsføring til fysiske personer krever forhåndssamtykke («opt in»). Det betyr at mottakeren må ha gitt et frivillig, uttrykkelig og informert samtykke før virksomheten kan sende e‑post, SMS, push-varsler eller tilsvarende direkte markedsføring.

Markedsføringsloven § 15 tredje ledd gir et unntak fra kravet om forhåndssamtykke ved elektronisk markedsføring når det foreligger et eksisterende kundeforhold. For å bruke unntaket må kontaktopplysningene være gitt av kunden selv i forbindelse med et kjøp eller en tilsvarende salgsprosess, og den næringsdrivende må før første utsendelse informere klart om at opplysningene vil brukes til markedsføring samt tilby en enkel, tilgjengelig og kostnadsfri reservasjonsmulighet. Markedsføringen kan bare gjelde den næringsdrivendes egne produkter eller tjenester som er tilsvarende det kundeforholdet bygger på, noe som i praksis begrenser bruk av kundedata på tvers av konsernselskaper og mot vesentlig ulike vare- og tjenestekategorier.

Unntaket i markedsføringsloven § 15 tredje ledd speiler den europeiske regelen i ePrivacy-direktivet (2002/58/EF) artikkel 13 nr. 2. Etter denne bestemmelsen kan en virksomhet bruke en kundes e‑postadresse (eller tilsvarende elektronisk kontaktinfo) til direkte markedsføring av egne, tilsvarende produkter eller tjenester uten forhåndssamtykke, dersom:

• kontaktopplysningene ble innhentet i forbindelse med et salg til kunden,
• kunden ble klart informert om at opplysningene kan brukes til markedsføring,
• og kunden til enhver tid tilbys en enkel og kostnadsfri reservasjonsmulighet, både ved innsamlingen og ved hver senere henvendelse.

Var nyhetsbrevet «markedsføring»?

Det første spørsmålet EU-domstolen måtte ta stilling til var om nyhetsbrevet i saken utgjorde «markedsføring» etter ePrivacy-direktivet. Nyhetsbrevet inneholdt juridisk og redaksjonelt stoff, men var utformet for å få brukeren inn på nettstedet, bruke opp kvoten med gratis artikler og i neste omgang bli betalende abonnent.

Dette er etter domstolens syn selve kjernen i direkte markedsføring: kommunikasjon som har et kommersielt formål og som sendes individuelt til mottakeren. At innholdet er faglig godt, nyttig og informativt, endrer ikke karakteren. For norske virksomheter betyr det at nyhetsbrev, faglige oppdateringer og «kundeinformasjon» som drives inn i en betalmodell eller abonnementsløsning, i utgangspunktet må behandles som markedsføring etter direktivets artikkel 13.

«Gratis» er ikke nødvendigvis gratis: freemium som «salg av en tjeneste»

Det mest interessante grepet i dommen er likevel forståelsen av uttrykket «salg av et produkt eller en tjeneste» i e-privacy-direktivets artikkel 13 nr. 2. Her går EU-domstolen rett inn i forretningsmodellen.

Utgangspunktet er at salg vanligvis innebærer betaling. Men i en digital økonomi er det ofte slik at brukeren ikke betaler med penger, men med oppmerksomhet, data og lojalitet. Den reelle kostnaden ved å tilby en gratistjeneste bæres av andre inntektsstrømmer, for eksempel betalte abonnementer eller annonseinntekter.

Domstolen legger derfor til grunn at en gratis konto kan være del av et kundeforhold. Når brukeren oppretter konto, aksepterer vilkår og mottar en konkret og løpende tjeneste, og denne tjenesten er utformet for å lede over til en betalt variant, er det tilstrekkelig til at e-postadressen er innhentet «i forbindelse med salg av en tjeneste».

Overført til norsk rett betyr dette at «eksisterende kundeforhold» og «i forbindelse med salg» i markedsføringsloven § 15 må leses funksjonelt. En freemium-bruker som får en faktisk tjeneste – ekstra artikler, tilgang til plattform, app mv. – som del av en kommersiell modell, vil ofte måtte behandles som kunde, selv om det konkrete forholdet formelt er gratis.

Hva er «tilsvarende ytelser»?

Neste spørsmål er hva virksomheten kan markedsføre innenfor rammen av soft opt-in. E-privacy-direktivet begrenser unntaket til «lignende produkter eller tjenester». Markedsføringsloven bruker begrepet «egne varer, tjenester eller andre ytelser tilsvarende dem som kundeforholdet bygger på».

I Inteligo vurderer domstolen den betalte abonnementstjenesten som en naturlig forlengelse av den gratis tjenesten. Det er samme leverandør, samme type innhold og samme plattform. Forskjellen er omfang og nivå, ikke karakter.

I praksis innebærer det at markedsføring for å oppgradere fra gratis til betalt abonnement på samme tjeneste normalt vil være omfattet av § 15 tredje ledd. Grensen blir først tydelig når virksomheten bruker e-postadressene til helt andre produktkategorier, eller andre selskaper i et konsern, som ikke kan anses som den samme næringsdrivende.

Forholdet mellom e-privacy og GDPR

Den delen av dommen som nok vil skape mest diskusjon i personvernmiljøene, er konklusjonen om forholdet til GDPR artikkel 6.

Mye av dagens veiledning, også i Norge, er bygget på en modell der virksomheten først vurderer om markedsføringen er lovlig etter markedsføringsloven, og deretter, som et eget trinn, leter etter behandlingsgrunnlag i artikkel 6 (samtykke, berettiget interesse osv.). I Inteligo sier domstolen ganske rett frem at dette ikke er riktig tilnærming i en ren artikkel 13 nr. 2-situasjon.

Resonnementet er at e-privacy-reglene i artikkel 13 nr. 2, sammen med GDPR artikkel 95, utgjør et spesialregime som balanserer virksomhetens interesser og mottakerens vern: den definerer formålet, setter grenser for hvilke tjenester som kan markedsføres, og gir mottaker en klar og enkel reservasjonsrett både ved innsamling og i hver e-post. Når disse vilkårene er oppfylt, er det ikke rom for å legge et ekstra lag med krav etter artikkel 6 nr. 1.

Oversatt til norsk rett betyr det at hvis en virksomhet holder seg innenfor rammene i § 15 tredje ledd, skal tilsynsmyndighetene ikke kunne kreve et behandlingsgrunnlag etter GDPR i tillegg for selve utsendelsen. Lovligheten av behandlingen følger i stedet av spesialregelverket for elektronisk markedsføring.

Samtidig gjelder de andre pliktene i GDPR for utsendelsen av markedsføring: Virksomheten må fortsatt informere tydelig, behandle færrest mulig opplysninger, begrense lagringstiden og ivareta informasjonssikkerhet. Og andre typer bruk av data som ofte følger med nyhetsbrev, som sporingspikslene som måler åpninger og klikk, vil fortsatt kreve et behandlingsgrunnlag. Det samme gjelder innsamlingen av personopplysninger som skal brukes til markedsføringen.

Hva betyr dommen konkret for norske virksomheter?

Dommen innebærer en del viktige avklaringer.

For det første må nyhetsbrev og faglige utsendelser som i realiteten skal drive salg eller konvertere til betalt tjeneste, behandles som markedsføring. Det holder ikke å karakterisere dem som «informasjon» internt.

For det andre åpner dommen for at soft opt-in («eksisterende kundeforhold») kan anvendes også overfor gratiskunder. Har dere brukere som har opprettet konto og fått tilgang til en løpende tjeneste, er det en reell sjanse for at de utgjør «eksisterende kundeforhold» etter § 15, med rett til å motta markedsføring for tilsvarende tjenester uten uttrykkelig samtykke, så lenge reservasjonsretten er ivaretatt.

For det tredje bør virksomheter som har bygget hele strategien sin på samtykke også der soft opt-in kunne vært brukt, vurdere om dette er hensiktsmessig videre. Det kan være gode grunner til å holde fast ved samtykke i noen situasjoner, for eksempel ved kryssalg på tvers av konsern eller ved omfattende profilering. Men Inteligo gir en tydeligere rettslig forankring for å lene seg på soft opt-in der vilkårene for eksisterende kundeforhold først er oppfylt.

Veien videre

Inteligo-dommen endrer ikke norske regler over natten, men den avklarer hvordan markedsføringsloven § 15 må forstås i lys av EU-retten. Den gir samtidig både Forbrukertilsynet og Datatilsynet noen rammer for hvor langt de kan gå i å kreve samtykke og egne GDPR-grunnlag for vanlig nyhetsbrevmarkedsføring.

For virksomheter som jobber med innholdsmarkedsføring, nyhetsbrev og freemium-modeller, er dette et godt tidspunkt for å se på:

• hvordan kundereiser, innhentingspunkter og samtykketekster er utformet,
• hvorvidt det foreligger et eksisterende kundeforhold etter markedsføringsloven,
• om samtykke eller andre behandlingsgrunnlag er korrekte,
• og hvordan e-postadresser og brukerdata brukes videre til profilering og analyse.

Bull har et tverrfaglig miljø innen personvern, teknologi og markedsføringsrett. Vi bistår gjerne med å vurdere deres konkrete forretningsmodell, og med å tilpasse samspillet mellom markedsføringsloven, e-privacy og GDPR til en digital hverdag der «gratis» sjelden er helt gratis. Du finner oss her.