Datatilsynet har ilagt Elkjøp et overtredelsesgebyr på 20 millioner kroner for ulovlig behandling av personopplysninger i deres kundeklubb, se vedtaket her. Begrunnelsen viser blant annet til at samtykket ikke var gyldig og at behandlingen av medlemmenes personopplysninger dermed ikke hadde et gyldig behandlingsgrunnlag.
Det er per nå ikke klart om saken vil bringes inn for domstolene. Vedtaket viser at tilsynet aktivt håndhever samtykkereglene, og understreker hvor viktig det er at virksomheter har gyldig behandlingsgrunnlag for digital markedsføring.
Bakgrunnen for milliongebyret
Elkjøp baserte sin kundeklubb på et samtykke som krevde at medlemmene takket ja til nyhetsbrev, SMS, profilering, personalisering og analyse, alle, ifølge Elkjøp, med markedsføringsformål, for å bli medlem av kundeklubben. Datatilsynet konkluderte med at en slik «bundling» utgjorde et brudd på personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, jf. artikkel 4 nr. 11. Samtykket var ifølge tilsynet verken frivillig, spesifikt eller informert.
Hva kreves ifølge vedtaket?
For virksomheter som opererer med kundeklubber, profilering eller analyse av kundedata, gir vedtaket flere avklaringer:
Krav til granularitet, frivillighet og spesifikt samtykke: Et samtykke er ikke frivillig dersom kunden tvinges til å akseptere flere formål i ett og samme ja («alt eller ingenting», «bundlet samtykke»). Datatilsynet mener at generell markedsføring, profilering/personalisert markedsføring og analyse utgjør separate formål. Kundene må dermed få mulighet til å samtykke eller la være å samtykke til hvert av disse formålene uavhengig av hverandre.
Tilsynet mener at samtykket ikke er frivillig hvis det kreves at kunden samtykker til alle formålene som motytelse for å få tilgang til generelle rabatter. Ifølge tilsynet var det ikke tilstrekkelig at kunden kunne trekke tilbake samtykket for det enkelte formålet etterpå for at det skulle anses som frivillig.
Krav til spesifisert formål: Å ha ett felles samtykke til et overordnet formål som «markedsføring» er for vagt mener Datatilsynet. Når generell markedsføring, profilering/personalisert markedsføring og analyse utgjør separate formål etter tilsynets syn, kreves også granulerte samtykker for at samtykket skal være gyldig.
Krav til informasjon: Samtykket er ikke informert dersom virksomheten fremhever fordeler som rabatter og tilbud, uten å gi, før samtykke innhentes, også opplysninger om bruk av personopplysninger benyttes til personalisering og markedsføring. Kunden må gis tydelig informasjon om konsekvensene av samtykke før behandlingens start.
Er din virksomhet sine samtykkeløsninger gode nok?
Vedtaket synliggjør en betydelig risiko ved å trå feil.
I lys av vedtaket anbefales virksomheter med lojalitetsprogrammer nå ta en gjennomgang av hvordan de innhenter og dokumenterer samtykker, for å unngå tilsvarende reaksjoner. Særlig er det viktig å kontrollere at samtykker er tilstrekkelig granulerte (ikke «bundlet»).
Føyen bistår jevnlig virksomheter med å vurdere og forbedre samtykkeløsninger, samtykketekster og personverndokumentasjon. Ta gjerne kontakt med oss for en gjennomgang av deres kundeklubb, slik at dere kan være trygge på at samtykkeløsningene er både effektiv og i tråd med lovverket.
