Det norske Datatilsyn har idømt en bøde på 20 mio. NOK for ulovlig behandling af kundedata i et loyalitetsprogram. Afgørelsen fremhæver, at bredt formulerede eller betingede samtykker ikke opfylder GDPR, når adgang til generelle rabatter forudsætter omfattende databehandling. Myndigheden påpegede desuden genbrug af data til nye formål uden hjemmel og mangelfuld håndtering af registreredes rettigheder.
Krav til gyldigt samtykke og frivillighed under GDPR
Et gyldigt samtykke skal være frivilligt, specifikt, informeret og afgivet ved en utvetydig viljestilkendegivelse. Frivillighed forudsætter et reelt valg uden negative konsekvenser ved afslag, herunder at basale ydelser og generelle rabatter ikke gøres afhængige af omfattende behandling.
Bundtning af flere formål i ét samtykke er uforenelig med kravet om specificitet. Virksomheder skal tilbyde granulære valg, så eksempelvis nyhedsbreve, profilering og tredjepartsannoncering kan til- og fravælges særskilt, og tilbagetrækning skal være lige så let som afgivelse.
Profilering og målrettet annoncering som særskilte formål
Profilering og customer match udgør selvstændige behandlingsaktiviteter, der som udgangspunkt kræver særskilt samtykke. Et generelt samtykke til markedsføring er utilstrækkeligt, når der behandles data til personalisering eller deling med tredjepartsplatforme.
Formålsbegrænsning og dataminimering indebærer, at data ikke må genbruges til nye markedsføringsformål uden nyt behandlingsgrundlag. Elektronisk direct marketing forudsætter herudover samtykke efter markedsføringsloven, og registreredes rettigheder, herunder indsigelse mod profilering, skal honoreres rettidigt.
Praktiske skridt til compliant kundeklubber og loyalitetsprogrammer
Virksomheder bør styrke governance og dokumentation for at reducere sanktionsrisiko og sikre gennemsigtighed over for kunder. Det kræver klare roller, procedurer og sporbarhed i beslutninger om databrug.
Organiseringen af samtykker og markedsføring bør tilpasses, så behandlingen matcher formål og lovgrundlag. Følgende tiltag er relevante:
Prioriter disse initiativer for at sikre lovlig behandling i kundeklubber:
- Opdel samtykker efter formål, fx nyhedsbreve, profilering og tredjepartsannoncering.
- Sørg for, at generelle rabatter er tilgængelige uden medlemskab eller udvidet databehandling.
- Dokumentér behandlingsgrundlag pr. formål og implementér effektiv samtykkestyring.
- Gør tilbagetrækning og fravalg enkelt, og efterlev indsigelser mod profilering.
- Gennemfør konsekvensanalyse, hvor profilering og bred datadeling indgår.
- Kontrollér datadeling og aftaler med tredjepartsplatforme for annoncering.
En målrettet oprydning i samtykkestrømme, informationstekster og tekniske indstillinger er nødvendig, hvis loyalitetsmodellen hviler på udveksling af data for rabat. Det reducerer både juridisk risiko og styrker tilliden hos kunderne.
