Logo Logo
NO EN DE
Aktuelt Elkjøp-gebyret gir viktige læringspunkter for kundeklubber

Elkjøp-gebyret gir viktige læringspunkter for kundeklubber

Immaterialrett

Hvor går egentlig grensen mellom relevant markedsføring og ulovlig bruk av kundedata? Datatilsynets gebyr på 20 millioner kroner til Elkjøp viser at kundeklubber ikke bare handler om lojalitet, innsikt og treffsikker kommunikasjon. De kan også innebære betydelig personvernrisiko dersom samtykker, behandlingsgrunnlag og interne rutiner ikke er godt nok utformet og dokumentert. For virksomheter som bruker kundeklubber, personalisering, profilering eller annonseteknologi, gir vedtaket flere viktige læringspunkter.

Datatilsynet har i vedtak av 1. juni 2026 konstatert brudd på personvernforordningen, GDPR, hos Elkjøp Nordic AS og Elkjøp Norge AS. Vedtaket gjelder behandling av personopplysninger i selskapets kundeklubb og håndtering av rettighetsforespørsler fra de registrerte. Vedtaket bygger på et stedlig tilsyn gjennomført i juni 2022, og saken har derfor hatt lang saksbehandlingstid.

Hele vedtaket kan leses her.

Bakgrunnen for tilsynet var flere meldinger om brudd på personopplysningssikkerheten, klager og tips om kundeklubben. Elkjøps kundeklubb hadde på tilsynstidspunktet 6,7 millioner medlemmer i Norden, og saken er behandlet som en grenseoverskridende sak med Datatilsynet som ledende tilsynsmyndighet.

Vedtaket kan ikke påklages til Personvernnemnda, men kan bringes inn for domstolene.

Hovedfunn i vedtaket

Datatilsynet konstaterte fire overtredelser av personvernforordningen (GDPR):

  • Ugyldig samtykke (artikkel 6 nr. 1, jf. artikkel 4 nr. 11): Samtykket til behandling av personopplysninger i kundeklubben var ikke gyldig. Datatilsynet fant at samtykket ikke var spesifikt, ettersom behandlingsaktivitetene var knyttet til ulike formål som ikke var tilstrekkelig definert. Samtykket var heller ikke frivillig, da kundene ikke kunne gi separat samtykke til de forskjellige behandlingsaktivitetene (såkalt «bundling»). Videre var samtykket ikke informert, ettersom kundene ikke fikk tilstrekkelig informasjon om profilering og personalisert markedsføring på det tidspunktet samtykket ble innhentet.
  • Kundematch uten rettslig grunnlag (artikkel 6 nr. 1 og nr. 4): Elkjøp viderebehandlet personopplysninger fra kundeklubben i verktøyet «kundematch» uten gyldig rettslig grunnlag. Kundematch brukes til å matche kunders e-postadresser og telefonnumre med annonseplattformer for mer målrettet markedsføring. Elkjøp hadde verken foretatt en forenlighetsvurdering etter artikkel 6 nr. 4 eller dokumentert et gyldig behandlingsgrunnlag. Datatilsynet understreket at viderebehandling basert på berettiget interesse (artikkel 6 nr. 1 bokstav f) normalt er utelukket når personopplysningene opprinnelig ble samlet inn på grunnlag av samtykke.
  • Manglende dokumentasjon for offline-konverteringer (artikkel 5 nr. 2, jf. artikkel 5 nr. 1 bokstav a): Elkjøp brukte «offline-konverteringer» for å måle effekten av digital markedsføring på butikksalg ved å dele opplysninger med Google og Facebook. Selskapet påberopte seg "berettiget interesse" (artikkel 6 nr 1 f) som behandlingsgrunnlag, men hadde ikke gjennomført eller dokumentert en forsvarlig interesseavveining. Vurderingen manglet sentrale elementer som antall berørte registrerte, kategorier av personopplysninger, behandling av barns opplysninger og de registrertes rimelige forventninger.
  • Fristoversittelse for rettighetsforespørsler (artikkel 12 nr. 3): Elkjøp behandlet ikke rettighetsforespørsler fra de registrerte innen lovens frister. Retteforespørsler ble automatisk kategorisert som «komplekse», noe som utløste en automatisk fristforlengelse på to måneder. Datatilsynet påpekte at slik automatisk kategorisering ikke er tillatt – fristforlengelse krever en konkret vurdering i hvert enkelt tilfelle. Enkelte forespørsler forble ubesvart helt tilbake til februar 2021.

Datatilsynet la i skjerpende retning vekt på at overtredelsene gjelder sentrale bestemmelser og prinsipper i personvernforordningen, at et stort antall registrerte var berørt, samt at behandlingen også omfattet barns personopplysninger. Aldersgrensen for kundeklubben i henhold til vedtaket var 15 år men synes nå å være endret til 18 år, men Elkjøp manglet mekanismer for å verifisere kundenes alder.  Aldersverifisering er et aktuelt tema også i regjeringens høringsforslag til aldersgrense i sosiale medier og reiser problemstillinger i seg selv hvordan dette skal gjøres på minst mulig personverninngripende måte.  

Gebyret på 20 millioner kroner er beregnet ut fra Curry's (Elkjøps morselskap) samlede omsetning, men ligger under skalaen på 0,5% til 0,8% av omsetningen som følger av personvernrådets veiledning. Skulle denne veiledningen bli lagt til grunn ville gebyret ligget mellom MNOK 435 – 868.

Læringspunkter for virksomheter med kundeklubber

Vedtaket understreker flere viktige prinsipper som virksomheter med kundeklubber bør være oppmerksomme på:

  1. Spesifikt og granulert samtykke: Dersom samtykke benyttes som behandlingsgrunnlag for kundeklubb, må det innhentes separat samtykke for behandlingsaktiviteter med ulike formål. Det er ikke tilstrekkelig å innhente ett samlet samtykke til «markedsføring» dersom dette omfatter både generell markedsføring, profilering, personalisering og analyse. Slike aktiviteter utgjør separate formål som krever granulert samtykke.
  2. Informasjon før samtykke: Informasjon om behandlingens art og konsekvenser må gis før samtykke innhentes, ikke etterpå. Muntlig informasjon fra butikkansatte er i seg selv ikke tilstrekkelig – informasjonen bør gis skriftlig og på en standardisert måte for å unngå vilkårlig og utilstrekkelig informasjon.
  3. Begrensninger ved viderebehandling: Personopplysninger som er samlet inn på grunnlag av samtykke, kan som hovedregel ikke viderebehandles for nye formål med hjemmel i berettiget interesse. Dersom formålet endres eller opplysningene skal brukes i nye verktøy, må det normalt innhentes nytt samtykke.
  4. Dokumentasjon av berettiget interesse: Ved bruk av berettiget interesse som behandlingsgrunnlag må det foretas og dokumenteres en grundig interesseavveining og følge en tretrinnsvurdering. Vurderingen må identifisere de registrertes interesser, rettigheter og friheter som kan bli påvirket, herunder antall berørte registrerte, kategorier av opplysninger, behandling av barns opplysninger og de registrertes rimelige forventninger før en samlet vurdering og konklusjon.
  5. Systemer for rettighetsforespørsler: Virksomheter må ha systemer og rutiner som sikrer at rettighetsforespørsler fra de registrerte behandles innen fristen på én måned. Automatisk kategorisering av forespørsler som «komplekse» er ikke tillatt – fristforlengelse må baseres på en konkret vurdering i hvert enkelt tilfelle.
  6. Særlig aktsomhet ved behandling av barns opplysninger: Dersom en tjeneste er tilgjengelig for mindreårige (hos Elkjøp var aldersgrensen som nevnt 15 år men det var ingen mekanismer for å verifisere dette). Vedtaket uttaler at barn fortjener et særlig vern og bør ikke utsettes for profilering for markedsføringsformål.

SANDS’ anbefalinger

Selv om gebyret fra Datatilsynet kan bringes inn for domstolen og vi ikke vet om vedtaket vil bli stående illustrerer vedtaket at Datatilsynet prioriterer tilsyn med kundeklubber og lojalitetsprogrammer, og at overtredelsesgebyrer kan bli betydelige selv der overtredelsene vurderes som «middels alvorlige». Virksomheter som driver kundeklubber eller tilsvarende ordninger bør gjennomgå sine samtykkeløsninger og behandlingsgrunnlag for å sikre etterlevelse av personvernregelverket.

Ta gjerne kontakt med SANDS’ personvernteam dersom dere har spørsmål om vedtaket, eller ønsker bistand med en gjennomgang av egne kundeklubb- eller markedsføringsløsninger.