Datatilsynet gir Elkjøp gebyr på 20 millioner

Kundeklubben med over seks millioner medlemmer brøt personvernreglene, ifølge Datatilsynet.

Datatilsynet har ilagt Elkjøp et overtredelsesgebyr på 20 millioner kroner for brudd på personvernreglene i selskapets kundeklubb.

Datatilsynet mener Elkjøp behandlet personopplysninger uten gyldig samtykke fra kundene.

Tilsynet ble gjennomført i juni 2022 etter flere meldinger om sikkerhetsbrudd, klager og tips om kundeklubben.

Datatilsynet fant flere brudd på personvernreglene.

• Ifølge tilsynet hadde Elkjøp ikke gyldig samtykke til å bruke personopplysninger i kundeklubben.
• Selskapet hadde heller ikke gjort gode nok vurderinger før opplysningene ble brukt til nye formål.
• Elkjøp skal også ha brukt feil eller mangelfullt grunnlag for deler av behandlingen av personopplysninger.
• I tillegg svarte selskapet ikke raskt nok på henvendelser fra kunder som ville bruke rettighetene sine etter personvernreglene.

Over 6 millioner medlemmer av Elkjøps kundeklubb i Norden var berørt av bruddene.

– Selv om bruddene i seg selv ikke er blant de mest alvorlige, er dette trolig utbredte feil som mange virksomheter gjør, skriver Datatilsynet.

Datatilsynet skriver at kundeklubber ofte berører mange personer, og at saken viser feil som trolig er utbredt i mange virksomheter.

Saken gjelder Elkjøp Nordic AS og Elkjøp Norge AS. Den er behandlet sammen med datatilsynene i Sverige, Island, Finland og Danmark.

Vedtaket kan bringes inn for Oslo tingrett, opplyser Datatilsynet.