Gigantin emoyhtiölle 1,85 miljoonan euron sakot – koskee myös suomalaisia Gigantti-klubin jäseniä
Norjan tietosuojaviranomainen on määrännyt Gigantin emoyhtiölle Elkjøpille 20 miljoonan Norjan kruunun, eli noin 1,85 miljoonan euron suuruisen hallinnollisen seuraamusmaksun tietosuojalainsäädännön rikkomisesta, kertoo Tietosuojavaltuutetun toimisto.
Tapaus kytkeytyy kanta-asiakkaiden henkilötietojen käsittelyyn ilman lainmukaista ja pätevää suostumusta. Gigantti on osa Pohjoismaissa toimivaa Elkjøp Nordic -konsernia, joten viranomaisen päätös koskee suoraan myös suomalaisia Gigantti-klubin jäseniä.
Sakoista päättäneen viranomaisen tutkimukset käynnistyivät jo vuonna 2022, jolloin Elkjøp Nordicin ja Elkjøp Norgen toimintaan tehtiin tarkastus.
Paljastuneiden tietosuojarikkomusten arvioidaan vaikuttavan yli kuuteen miljoonaan asiakasklubin jäseneen eri Pohjoismaissa.
Viranomaiset totesivat, että yhtiö epäonnistui suostumusten pyytämisessä, sillä se ei eritellyt kuluttajille kaikkia niitä tarkoituksia, joihin kerättyjä henkilötietoja loppujen lopuksi käytettiin. Asiakkaat jätettiin käytännössä ilman riittävää tietoa omien datansa kohtalosta.
Tietosuojalainsäädännön mukaan kuluttajalle on aina tehtävä täysin selväksi, millaiseen käsittelyyn häneltä lupaa pyydetään. Käyttötarkoitukset täytyy yksilöidä tarkasti, ja erilaista toimintaa varten on kerättävä erilliset suostumukset.
Gigantin emoyhtiön kohdalla suostumuksia ei ollut jaoteltu oikein, vaikka tietoja käytettiin erilaisiin tarkoituksiin, kuten suoramarkkinointiin, profilointiin eli asiakasprofiilien luomiseen sekä tietojen jakamiseen eteenpäin ulkopuolisille markkinointi- ja analytiikkakumppaneille.
Luvattoman datankäsittelyn lisäksi tarkastuksessa ryöpytettiin yhtiön muitakin toimintatapoja. Elkjøp ei ollut vastannut asiakkaiden omien henkilötietojen tarkastus- ja korjauspyyntöihin määräajassa.
Yhtiö sai moitteita myös siitä, ettei se ollut tehnyt vaadittavia arviointeja asiakastietojen käyttämisestä uusiin tarkoituksiin, eikä se ollut tutkinut riittävän perusteellisesti, voiko sen tekemä tietojen käsittely edes perustua lainmukaiseen oikeutettuun etuun.
Norjan tietosuojaviranomainen toimi johtavana valvontaviranomaisena, koska Elkjøp-konsernin päätoimipaikka sijaitsee Norjassa. Suomen, Ruotsin, Islannin ja Tanskan tietosuojaviranomaiset osallistuivat asian käsittelyyn. Norjan tietosuojaviranomaisen antama sakkoja koskeva päätös ei ole vielä lainvoimainen, joten yhtiöllä on mahdollisuus valittaa ratkaisusta.
KOMMENTOI
Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.