Webinar | GDPR i praksis: Veien til dokumentert etterlevelse
Under webinaret snakker vi om veien til dokumentert etterlevelse av personvernregelverket.
Dato 8. juni 2026
Overtredelsesgebyr på 20 millioner for kundeklubb?
Datatilsynet har ilagt Elkjøp 20 millioner i overtredelsesgebyr for ulovlig behandling av personopplysninger. Mange andre virksomheter i varehandelen gjør lignende feil. Virksomheter med kundeklubber og lignende fordelsprogrammer bør gjennomgå sin behandling av kundenes opplysninger og forsikre seg om deres håndtering skjer på lovlig måte. I motsatt fall risikerer man ikke bare overtredelsesgebyr, men i verste fall også å måtte slette tidligere innhentede kundeopplysninger.
Skrevet av
Samtykke
Bruk av personopplysninger i kundeklubber og andre fordelsprogrammer er i praksis basert på samtykke, men mange virksomheter har ikke tatt inn over seg hva som kreves for at slike samtykker skal være gyldige.
Elkjøp-saken gjør det klart at det ikke kan brukes ett samtykke for flere ulike behandlingsaktiviteter. Dette gjelder selv om det overordnede formålet med aktivitetene alle er å fremme salg av varer eller tjenester. Kravene til at samtykket skal være frivillig og spesifikt, innebærer f.eks. at det må innhentes egne (separate) samtykker for henholdsvis generell markedsføring, profilering og personlig rettet markedsføring.
Kravet til frivillighet innebærer dessuten at det må være mulig for kunden å kunne si nei til for eksempel profilering uten dermed å bli utstengt fra kundeklubben og muligheten for å oppnå rabatter. Det samme må gjelde dersom kunden velger å benytte seg av sin rett etter markedsføringsloven til å reservere seg mot mottak av markedsføring på SMS eller e-post. I Elkjøp-saken er Datatilsynet avvisende til argumenter om at avgivelse av personopplysninger kan anses som «betaling» for tilgang til generelle rabatter og fordeler.
Gis det ikke tilstrekkelig informasjon om hvordan personopplysningene behandles og formålet med de enkelte aktivitetene, vil samtykkene heller ikke være informerte. Informasjonen skal gis før kunden gir sitt samtykke. Det er ikke tilstrekkelig at kunden gis anledning til å reservere seg mot visse markedsføringsaktiviteter i etterkant. Det er opp til den næringsdrivende å dokumentere hvilken informasjon kunden faktisk har fått. Særlig der det innhentes samtykker i kassen, vil det være vanskelig å dokumentere at informasjonen har vært dekkende for den etterfølgende behandlingen.
Videre bruk av innhentede opplysninger - markedsføring i sosiale medier
Behandler man kundeopplysninger på måter som ikke klart faller innenfor de samtykker som er innhentet, må man nøye vurdere om man har rettslig grunnlag for slik behandling.
Elkjøp-saken viser at dette er særlig relevant i tilfeller hvor man for analyse eller rene markedsføringsformål, deler kundeopplysninger med tredjepart, typisk sosiale medier og andre annonseplattformer. For å få mer ut av sine markedsinvesteringer, hadde Elkjøp delt informasjon om kundenes e-postadresser og telefonnummer med annonseplattformer. Datatilsynet mente slik deling ikke var forenelig med de opprinnelig innhentede samtykkene, og at Elkjøp heller ikke kunne basere slik deling på annet grunnlag, herunder interesseavveiing. Ønsker man å bruke kundeopplysninger for å effektivisere markedsføring på nett, vil det kunne kreve egne samtykker.
Barns personopplysninger
Barns personopplysninger er særlig beskyttet. Kunder under 18 år skal ikke være gjenstand for profilering.
I Elkjøp-saken la Datatilsynet i skjerpende retning vekt på at Elkjøp manglet mekanismer for å sikre at kundene i kundeklubben faktisk var over 15 år. Dette gjaldt selv om Elkjøps markedsføring ikke var særlig rettet mot barn.
Særlige opplysninger
Noe som ikke var tema i Elkjøp-saken, men som kan være særlig relevant for aktører som selger varer og tjenester som kan si noe om kundens helse, seksuelle forhold eller religion, er at det å lagre eller på annen måte behandle informasjon om hvilke slike produkter kunden kjøper, krever at det er innhentet forsterket (eksplisitt) samtykke.
Spørsmål? Kontakt oss:
Relaterte artikler
Offentlige selskaper risikerer å bryte personvernreglene
Virksomheter som velger å følge offentleglova uten å være forpliktet til det, risikerer å bryte personvernregelverket. De virksomhetene som frivillig følger offentleglova bør snarest få en rettslig avklaring på om de er omfattet av offentleglova eller ikke.
Mange virksomheter må endre varslingsrutinene
Etter arbeidsmiljøloven § 2 A-6 har alle virksomheter som jevnlig sysselsetter minst fem arbeidstakere plikt til å ha interne skriftlige rutiner for varsling. Også virksomheter med færre enn fem ansatte kan i noen tilfeller ha plikt til å utarbeide skriftlige varslingsrutiner dersom forholdene i virksomheten tilsier det. Rutinene skal blant annet inneholde en oppfordring om å varsle om kritikkverdige forhold, fremgangsmåten for å varsle og arbeidsgivers fremgangsmåte for mottak, behandling og oppfølging av varselet.
Personvernnemnda opprettholder overtredelsesgebyr på 65 millioner til Grindr
Hjort har bistått Forbrukerrådet i en sak der Grindr er ilagt overtredelsesgebyr på 65 millioner kroner for manglende innhenting av samtykker til deling av informasjon for markedsføringsformål. Dette er det høyeste gebyret som hittil er ilagt i Norge for brudd på GDPR.
Webinar | Styre og ledelsens ansvar for informasjonssikkerhet og personvern
Ledelsen i en virksomhet har hovedansvaret for å sikre at virksomheten etterlever lover og regler. Dette inkluderer personvernforordningen (GDPR) samt nye krav som følger av digitalsikkerhetsloven og NIS2-regelverket knyttet til cybersikkerhet.
Avtaler om overføring av personopplysninger må være oppdatert før nyttår
Såkalte SCC-avtaler basert på gammelt format løper snart ut på tid, og må oppdateres før nyttår. Har du kontroll på dine avtaler og overføringer?
Selskap fikk 2,5 millioner i overtredelsesgebyr for å varsle Datatilsynet for sent
Ved brudd på personopplysningssikkerheten må Datatilsynet varsles innen 72 timer. Viktigheten av å overholde denne fristen, illustreres av et nytt vedtak fra Datatilsynet.
EU-domstolen klargjør: personopplysninger er et relativt begrep
En fersk avgjørelse fra EU-domstolens underrett (General Court) klargjør at person-opplysninger er et relativt begrep. Dette har betydning både for anvendelsen av GDPR og for bruk av data til testing, algoritmetrening, forskning mv. Avgjørelsen kan også medføre et snevrere personopplysningsbegrep enn det som er lagt til grunn i mange saker hittil.
Kan man kreve at kunder oppgir kjønnsidentiteten sin?
I januar avsa EU-domstolen en illustrerende dom om prinsippet om dataminimering og nødvendighetsvilkåret når en skal behandle personopplysninger basert på avtale eller berettiget interesse.