tenkibench
gdpr-reasoning · hard · v1

Vurder grenser for behandlings-grunnlag-skifte midt i forhold

reason-gdpr-002

Hvorfor denne oppgaven

Reasoning på purpose-limitation. Når en SMB endrer hva de bruker data til, er det lov å fortsette med samme grunnlag, eller må de innhente nytt samtykke?

Spørsmål til modellen
En SMB samlet inn e-postadresser fra kunder ved kjøp, basert på
avtale-grunnlag (Article 6(1)(b)) for å sende ordrebekreftelser og
følge opp leveranser. Nå vil de bruke samme adressene til å sende
månedlige nyhetsbrev med produkt-tips.

Er dette gyldig? Resonner gjennom prinsippene.
Gull-standard
Nei, ikke uten nytt grunnlag.

Resonnement:

1) Purpose limitation (Art. 5(1)(b)):
   - GDPR krever at data behandles for "specified, explicit and
     legitimate purposes" og ikke videre-behandles på en måte som
     er uforenlig med de opprinnelige formål.
   - Opprinnelig formål: avtale-oppfyllelse (ordre + levering).
   - Nytt formål: markedsføring / nyhetsbrev.
   - Markedsføring er IKKE forenlig med avtale-oppfyllelse — det er
     et separat formål.

2) Hva må til for det nye formålet:
   a) Samtykke (Art. 6(1)(a)): pasienten må aktivt samtykke til
      nyhetsbrevene. Opt-in, ikke opt-out.
   b) Berettiget interesse (Art. 6(1)(f)): KAN brukes for direkte
      markedsføring til EKSISTERENDE kunder, men:
      - Recital 47 nevner direkte markedsføring som mulig berettiget
        interesse
      - MEN: ekomloven § 13-1 (Norge) krever uttrykkelig at
        elektronisk markedsføring til e-post krever forhåndssamtykke
        UTENFOR eksisterende kundeforhold
      - "Soft opt-in"-unntak: kan markedsføre LIGNENDE produkter til
        eksisterende kunder, hvis de ble informert ved innsamling og
        har enkel opt-out (ekomloven § 13-1 andre ledd)

3) Anbefaling:
   - Send ut en informasjons-epost til eksisterende kunder med
     enkel opt-in: "Vil du motta månedlige produkt-tips?"
   - For nye kunder fra nå: legg en avkryssingsboks (ikke forhåndsavkrysset)
     på checkout: "Jeg vil motta nyhetsbrev"
   - Hvis dere argumenterer for soft opt-in (Art. 6(1)(f) +
     ekomloven), må:
     - Dere kun markedsføre LIGNENDE produkter til opprinnelig kjøp
     - Inkludere "avregistrer"-link i hver epost
     - Ha dokumentert at kunder ble informert om muligheten ved kjøp
   - Trygt valg: gå med eksplisitt opt-in. Lavere reaksjonsrate, men
     fri fra Datatilsynet-risiko.
Eval-metode
llm_judge
Kilde
synthetic
Forfatter
[email protected]
Forfattet
2026-05-08
Tags
reasoningpurpose-limitationekomlovenmarketingllm-judgehard

Vis YAML-kilde på GitHub →