Politik for databeskyttelse ved markedsføring og cookies

Politik for databeskyttelse ved markedsføring og cookies definerer obligatoriske databeskyttelseskrav for markedsføring, cookies, sporingsteknologier, analyser, reklameteknologi, målgruppesegmentering, direkte markedsføring, præferencestyring, spærring, tredjepartstags, kampagnegennemgang og relateret behandling af PII. Dens angivne formål er at sikre, at disse aktiviteter styres gennem klare registreringer af formål, gennemsigtige privatlivsmeddelelser, passende samtykke- eller præferencekontroller, håndtering af spærring og tilbagetrækning, tilsyn med tredjeparter og revisionsklar dokumentation. Politikken gælder på tværs af dataansvarlig-, fælles dataansvarlig-, databehandler- og underdatabehandlerkontekster, hvor forpligtelser som dataansvarlig gælder, når organisationen fastlægger formål og midler for markedsføring, og databehandlerforpligtelser gælder, hvor PII relateret til markedsføring, analyser, sporing eller kampagner håndteres efter dokumenterede instrukser fra kunden eller en foranstillet databehandler. Et centralt krav er, at markedsførings- og sporingsformål skal registreres, før behandlingen begynder. For aktiviteter som dataansvarlig skal procesejeren eller virksomhedsejeren registrere hver markedsføringskampagne, kanal, behandlingsformål, PII-kategori, målgruppekilde, kobling til behandlingsgrundlag, kategori af sporingsteknologi, leverandør- eller tagafhængighed, kobling til privatlivsmeddelelse, afhængighed af samtykke eller præference, kobling til opbevaringsplan og overførselsmarkering i REG02, før kampagnen eller sporingsaktiviteten begynder. Den ansvarlige for databeskyttelse/PIMS-ansvarlige skal bekræfte aktuel kobling til REG07-privatlivsmeddelelse og REG05-samtykke- eller præferencekobling før kampagnelancering. Når fælles markedsføring, delt målgruppe, co-brandet kampagne eller delt sporingsaktivitet er involveret, skal ansvarsfordelingen mellem fælles dataansvarlige registreres i REG08 før lancering. Politikken fastsætter detaljerede operationelle krav til samtykke, præferencer, cookies og sporingskontroller. Den kræver, at organisationen identificerer, om samtykke, præference, indsigelse, kontraktlig instruks eller et andet godkendt grundlag kræves for hver markedsføringskanal, og at beslutningen registreres i REG02 og REG05 før indsamling eller kampagnebrug. Ikke-nødvendige cookies, tags, pixels, SDK'er og lignende sporingsteknologier skal forblive inaktive, indtil den krævede samtykke- eller præferencestatus er tilgængelig i REG05. Samtykke- eller præferencesignaler må ikke overskrives, omgås eller ignoreres under ændringer af website, applikation, kampagne eller tag-manager, og valideringsdokumentation skal registreres før frigivelse. Dokumentation for samtykke, præference, tilbagetrækning, spærring og version skal registreres i REG05 inden for én arbejdsdag efter indhentning, ændring eller tilbagetrækning. Gennemsigtighed og tredjepartsstyring er også centrale temaer. Den ansvarlige for databeskyttelse/PIMS-ansvarlige skal oprette eller opdatere registreringen for privatlivsmeddelelse ved markedsføring eller cookiemeddelelse i REG07, før en ny markedsføringskanal, sporingsteknologi, analysekonfiguration eller væsentlig kampagneændring lanceres. Indholdet i meddelelsen skal være i overensstemmelse med REG02-markedsføringsformål, PII-kategorier, modtagerkategorier, leverandørkategorier, kategorier af sporingsteknologier, præferencevalg og overførselsmarkeringer før offentliggørelse. Markedsføringsleverandører, analyseudbydere, annonceplatforme, tags, pixels, SDK'er og datadelingspartnere skal registreres i REG08 før brug i produktionsmiljøet, og klassificering som databehandler, fælles dataansvarlig eller uafhængig dataansvarlig skal bekræftes før onboarding eller fornyelse. Internationale leverandører, tags, analyseudbydere, annonceplatforme, målgruppeoverførsler eller datadelingsoverførsler skal sendes videre til REG09 før idriftsættelse, hvor det er relevant. Politikken fastsætter også krav til kampagnegennemgang, spærring, routing af fravalg, håndhævelse og løbende tilsyn. Målgruppekilde, segmenteringskriterier, PII-kategorier, udelukkelser på grund af spærring, præferencebegrænsninger og kobling til privatlivsmeddelelse skal verificeres før kampagnelancering, og personer med status for tilbagetrækning, indsigelse, kontaktforbud eller spærring skal udelukkes før aktivering. Indsigelser mod markedsføring, fravalg, anmodninger om tilbagetrækning, fejl ved afmelding og klager over direkte markedsføring skal sendes videre til REG06 inden for to arbejdsdage, og spærrings- eller præferencestatus skal opdateres inden for én arbejdsdag efter validering. Styringskontroller omfatter kvartalsvis gennemgang af kontrolstatus for databeskyttelse ved markedsføring i REG12, årlig gennemgang af aktive markedsføringsleverandører i REG08, kvartalsvise målinger for manglende koblinger til samtykke eller privatlivsmeddelelser, undtagelser for trackere og samtykkestatus, forsinkede opfyldelsespunkter samt revisionskonstateringer eller korrigerende handlinger registreret i REG12.