Ponad sześć milionów członków klubów klienta w krajach nordyckich zostało objętych naruszeniami przepisów o ochronie danych osobowych. Norweski urząd ochrony danych osobowych nałożył na sieć Elkjøp karę w wysokości 20 milionów koron za szereg uchybień związanych z przetwarzaniem danych klientów.
Elkjøp ukarany przez Datatilsynet
Norweski urząd ochrony danych osobowych – Datatilsynet – nałożył na spółki Elkjøp Nordic AS oraz Elkjøp Norge AS karę administracyjną w wysokości 20 milionów koron. Powodem były naruszenia przepisów dotyczących przetwarzania danych osobowych w klubie klienta sieci Elkjøp.
Kontrola została przeprowadzona już w czerwcu 2022 roku po tym, jak urząd otrzymał liczne zgłoszenia dotyczące naruszeń bezpieczeństwa danych, skargi klientów oraz informacje wskazujące na możliwe nieprawidłowości w funkcjonowaniu programu lojalnościowego.
Przeczytaj również: Uwaga kierowco! Potrąciłeś zwierzę? Brak zgłoszenia to przestępstwo
Wykryto kilka naruszeń
Podczas kontroli ustalono, że Elkjøp nie:
- uzyskał ważnej zgody na przetwarzanie danych osobowych członków klubu klienta,
- przeprowadził wymaganych analiz dotyczących wykorzystania danych do nowych celów,
- dokonał wystarczającej oceny tzw. prawnie uzasadnionego interesu jako podstawy przetwarzania danych,
- odpowiadał na wnioski klientów dotyczące ich praw w terminach określonych przez przepisy RODO.
Ponad sześć milionów osób objętych sprawą
Według ustaleń urzędu naruszenia dotyczyły ponad sześciu milionów członków programu lojalnościowego Elkjøp w krajach nordyckich.
Datatilsynet podkreśla, że choć same naruszenia nie należały do najpoważniejszych, to są to błędy często spotykane w wielu przedsiębiorstwach prowadzących kluby klienta. Ze względu na ogromną liczbę osób objętych sprawą urząd uznał nałożenie kary za konieczne.
Wysokość sankcji została ustalona na podstawie obrotów całej grupy kapitałowej, do której należy Elkjøp. Mimo że 20 milionów koron to znacząca kwota, urząd ocenił ją jako proporcjonalnie niską względem wielkości koncernu.
Międzynarodowe postępowanie
Sprawa miała charakter transgraniczny. W postępowaniu uczestniczyły również organy ochrony danych ze Szwecja, Islandia, Finlandia i Dania.
Instytucje te mogły zgłaszać uwagi do projektu decyzji, która została wydana zgodnie z mechanizmem współpracy i spójności przewidzianym w europejskich przepisach o ochronie danych osobowych. Elkjøp ma możliwość zaskarżenia decyzji do Oslo tingrett.
Urząd ostrzega firmy prowadzące programy lojalnościowe
Datatilsynet zwraca uwagę, że coraz więcej firm handlowych oferuje klientom kluby lojalnościowe. Każdy taki program wiąże się z przetwarzaniem danych osobowych i musi spełniać wymagania wynikające z przepisów o ochronie prywatności.
Urząd ostrzega przedsiębiorstwa przed praktyką oferowania ogólnych rabatów w zamian za przystąpienie do klubu klienta, jeśli jednocześnie konsumenci nie są w pełni świadomi, na jakie wykorzystanie swoich danych wyrażają zgodę.
Przeczytaj również: Uwaga kierowco! Potrąciłeś zwierzę? Brak zgłoszenia to przestępstwo
Jak powinna wyglądać prawidłowa zgoda?
Zdaniem urzędu ważna zgoda na przetwarzanie danych osobowych musi spełniać kilka warunków:
Klient musi być dobrze poinformowany
Firma musi jasno wyjaśnić, jakie dane będą wykorzystywane i w jakim celu. Informacje powinny zostać przekazane przed wyrażeniem zgody, a nie po fakcie.
Zgoda musi być dobrowolna
Klient powinien mieć realny wybór. Nie może być zmuszany do przekazywania danych osobowych w zamian za dostęp do zwykłych rabatów czy usług.
Zgoda musi być konkretna
Przedsiębiorstwo musi dokładnie określić cele wykorzystania danych. Ogólne określenie „marketing” nie jest wystarczające. Klient powinien mieć możliwość wyrażenia zgody na poszczególne działania oddzielnie.
Udostępnianie danych innym firmom wymaga podstawy prawnej
Wiele firm przekazuje dane partnerom biznesowym lub mediom społecznościowym w celu prowadzenia kampanii marketingowych i analiz. Datatilsynet przypomina jednak, że takie działania wymagają jasnego określenia celu oraz odpowiedniej podstawy prawnej.
Kara może stać się ważnym sygnałem
Sprawa Elkjøp pokazuje, że nawet największe firmy mogą mieć problemy z prawidłowym stosowaniem przepisów o ochronie danych osobowych. Kara może stać się ważnym sygnałem ostrzegawczym dla przedsiębiorstw prowadzących programy lojalnościowe w całej Europie. Coraz większa liczba takich programów oznacza również większą odpowiedzialność za dane klientów.
Czy Elkjøp został ukarany za wyciek danych?
🇧🇻 Mini lekcja języka norweskiego (bokmål):
1. samtykke – zgoda
🇳🇴 Kunden må gi samtykke før dataene brukes.
🇵🇱 Klient musi wyrazić zgodę, zanim dane zostaną wykorzystane.
2. personopplysninger – dane osobowe
🇳🇴 Bedriften lagrer personopplysninger om kundene.
🇵🇱 Firma przechowuje dane osobowe klientów.
3. kundeklubb – klub klienta
🇳🇴 Jeg meldte meg inn i butikkens kundeklubb.
🇵🇱 Zapisałem się do klubu klienta sklepu.
4. markedsføring – marketing
🇳🇴 Selskapet bruker e-post til markedsføring.
🇵🇱 Firma wykorzystuje pocztę elektroniczną do marketingu.
5. overtredelsesgebyr – kara administracyjna
🇳🇴 Virksomheten fikk et overtredelsesgebyr.
🇵🇱 Przedsiębiorstwo otrzymało karę administracyjną.
Wspieraj Radio Wataha, nasz Vipps: 696837 … dziękujemy 🙂
Źródło: datatilsynet, Zdjęcie: pixabay
Przeczytaj również: Kto decyduje o terminie urlopu? Oto najważniejsze zasady obowiązujące w Norwegii
Twórca treści na Wataha.no od 2018 roku, doświadczony dziennikarz od blisko 20 lat związany z Norwegią.
Specjalizuje się w opracowywaniu materiałów własnych oraz przekładaniu norweskich informacji na język polski w sposób zrozumiały i rzetelny.
W swojej pracy stawia na niezależność i neutralne podejście do spraw dotyczących Polonii w Norwegii, koncentrując się na faktach i realnych potrzebach czytelników.
