Samtykke til kundeklubb: lærdom fra Elkjøp-gebyret
Sist oppdatert 4. juni 2026
|
Kort fortalt
|
Et gyldig samtykke til kundeklubb er ett av de mest oversette kravene i norsk forbrukermarkedsføring – og Elkjøp-vedtaket fra 1. juni 2026 viser hvorfor det er en kommersiell risiko å ta lett på det. Datatilsynet underkjente Elkjøps samtykkeløsning, reagerte på at kundedata ble gjenbrukt til ny markedsføring, og ila et gebyr på 20 millioner kroner. Under gjennomgår vi de fire funnene og hva enhver virksomhet med kundeklubb eller datadrevet markedsføring bør lære av dem.
Hva gjaldt Elkjøp-saken?
Datatilsynet gjennomførte et stedlig tilsyn hos Elkjøp Nordic AS og Elkjøp Norge AS i juni 2022, etter klager og tips om kundeklubben. Vedtaket kom 1. juni 2026 og fastslår fire selvstendige brudd på personvernforordningen. Over seks millioner kundeklubbmedlemmer i Norden var berørt.
Saken er behandlet som en grenseoverskridende sak, der Datatilsynet er ledende tilsynsmyndighet og datatilsynene i Sverige, Island, Finland og Danmark har vært berørte myndigheter. Vedtaket kan derfor ikke påklages til Personvernnemnda, men kan bringes inn for Oslo tingrett. Elkjøp har beklaget overfor kundene og opplyser at rutinene er endret etter tilsynet; selskapet har ikke tatt stilling til om vedtaket bringes inn for retten.
| Funn (hjemmel) | Det som gikk galt | Lærdom |
|---|---|---|
| Ugyldig samtykke til kundeklubben (art. 6 nr. 1 a, jf. art. 4 nr. 11) | Samtykket var verken spesifikt, frivillig eller informert; et «alt eller ingenting»-tilbud; også barns data ble behandlet | Innhent separat, aktivt samtykke per formål; forklar profilering før kunden sier ja; «markedsføring» er ikke et spesifikt nok formål |
| Gjenbruk via «kundematch» uten grunnlag (art. 6 nr. 4, jf. art. 5 nr. 1 a) | Data samlet inn på samtykke ble brukt til nytt formål uten forenlighetsvurdering; berettiget interesse reparerte det ikke | Nye formål krever som hovedregel nytt samtykke; man kan ikke bytte rettsgrunnlag for å gjenbruke samtykke-data |
| Udokumentert interesseavveining for «offline-konverteringer» (art. 5 nr. 2, jf. art. 5 nr. 1 a) | Vurderingen av berettiget interesse manglet kundenes interesser, konsekvensene og deling med tredjeparter | En interesseavveining må dokumenteres og faktisk veie kundens side; «lav risiko» fritar ikke |
| For sen håndtering av rettighetsforespørsler (art. 12 nr. 3) | Retteforespørsler ble automatisk stemplet «komplekse» og fristforlenget; ubesvarte saker tilbake til 2021 | Svar innen én måned; forlengelse krever konkret vurdering; tekniske problemer er ingen unnskyldning |
Når er et samtykke til kundeklubb gyldig?
Et samtykke er bare gyldig dersom det er frivillig, spesifikt, informert og utvetydig, jf. personvernforordningen artikkel 4 nr. 11. Vilkårene er kumulative – svikter ett av dem, finnes det ikke noe gyldig samtykke, og dermed heller ikke noe lovlig grunnlag for behandlingen.
«… enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte …» (art. 4 nr. 11)
Elkjøps samtykke var ikke spesifikt. «Markedsføring» er ikke et tilstrekkelig presist formål, og Elkjøp hadde slått sammen flere ulike formål i ett: utsendelse av nyhetsbrev, profilering for personlig tilpasning og analyse er etter Datatilsynets syn separate formål. Da må kunden kunne samtykke til dem hver for seg.
Samtykket var heller ikke frivillig. Elkjøp omtalte det selv som «alt eller ingenting» og som en «pakke»: man kunne ikke bli medlem uten samtidig å akseptere profilering og analyse. Når ulike formål buntes sammen på denne måten, regnes ikke samtykket som frivillig (fortalepunkt 43). At Elkjøp anså dette som en rimelig «verdiutveksling» – data mot rabatter – endrer ikke vurderingen; den behandlingsansvarlige kan ikke tvinge kunden til å dele opplysninger som motytelse.
Til slutt var samtykket ikke informert. Informasjonen kundene fikk handlet om rabatter og fordeler, ikke om at de ville bli profilert og analysert, eller hva konsekvensene av det var. Mye ble dessuten formidlet muntlig av den enkelte butikkansatte. Risikoen for at informasjonen da blir tilfeldig og mangelfull, bærer virksomheten – ikke kunden.
At også barns opplysninger ble behandlet, skjerper bruddet. Aldersgrensen var 15 år (senere hevet til 18), men Elkjøp hadde ingen reell alderskontroll. Datatilsynet er tydelig på at barn – også i alderen 15–17 år – ikke bør profileres for markedsføringsformål, uavhengig av rettslig grunnlag.
Lærdommen: en kundeklubb kan ikke bygge på et samtykke som tvinger kunden til å godta alt. Gi separate, aktive valg per formål, og forklar profilering og analyse i klartekst før kunden sier ja. Datatilsynets veiledning om kundeklubber sier det samme, og har gjort det i flere år.
Kan kundedata samlet inn på samtykke gjenbrukes til ny markedsføring?
Som hovedregel ikke uten nytt grunnlag. Elkjøp tok i bruk verktøyet «kundematch», der kundenes e-post og telefonnummer matches mot annonseplattformer for mer treffsikker markedsføring. Opplysningene var opprinnelig samlet inn til kundeklubben på grunnlag av samtykke.
Det utløste to feil. For det første er dette behandling for et nytt formål, som krever en forenlighetsvurdering etter artikkel 6 nr. 4 – en vurdering Elkjøp ikke hadde gjort, fordi de feilaktig la til grunn at formålet var det samme. For det andre forsøkte Elkjøp å bruke berettiget interesse (artikkel 6 nr. 1 bokstav f) som grunnlag. Det godtok ikke Datatilsynet: viderebehandling av opplysninger som er samlet inn på samtykke, er normalt utelukket på dette grunnlaget, fordi det ville undergrave selve samtykket. Kunden kunne ikke med rimelighet forvente at data skulle deles med tredjeparter.
Lærdommen: man kan ikke bytte rettsgrunnlag for å «redde» en gjenbruk samtykket ikke dekker. Kartlegg alle formål før innsamlingen. Skal opplysningene brukes til et nytt formål senere – et nytt annonseverktøy, en ny analyse – kreves som hovedregel et nytt samtykke.
Hva kreves av en interesseavveining (berettiget interesse)?
Berettiget interesse etter artikkel 6 nr. 1 bokstav f krever tre ting samtidig: en berettiget interesse, at behandlingen er nødvendig, og at kundens interesser og rettigheter ikke veier tyngre. I tillegg må virksomheten kunne dokumentere at behandlingen er lovlig (ansvarlighetsprinsippet, artikkel 5 nr. 2).
Elkjøp brukte verktøyet «offline-konverteringer» til å måle effekten av digital annonsering mot salg i butikk, ved å sende kjøpsdata til Google og Facebook. Vurderingen av berettiget interesse var imidlertid for tynn: den manglet antall berørte kunder, hvilke opplysninger som ble behandlet, behandling av barns data, kundenes rimelige forventninger og de mulige konsekvensene av å dele opplysninger med tredjeparter. Uten å kartlegge konsekvensene for kundene er det i praksis ingen interesseavveining.
Datatilsynet konkluderte ikke med at berettiget interesse var et ulovlig grunnlag her – bruddet var at Elkjøp ikke kunne påvise at behandlingen var lovlig. At behandlingen etter Elkjøps syn hadde «lav risiko» og var «bransjestandard», fritar ikke for kravet om en reell, dokumentert vurdering.
Lærdommen: en interesseavveining er et dokument, ikke en magefølelse. Den må eksplisitt veie kundens side, og den må foreligge før behandlingen settes i gang.
Hvilke frister gjelder for kunders rettighetsforespørsler?
Når en kunde ber om innsyn, retting eller sletting, skal virksomheten svare uten ugrunnet opphold og senest innen én måned, jf. artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder, men bare ved behov og etter en konkret vurdering av antallet henvendelser og hvor komplekse de er.
Elkjøp hadde gjort fristforlengelse til hovedregel: forespørsler om å rette en e-postadresse ble automatisk stemplet som «komplekse», noe som utløste forlengelse. Det er ikke tillatt – en e-postretting er normalt ikke kompleks. Verre var det at en rekke forespørsler ikke ble besvart i det hele tatt innen den forlengede fristen, med ubesvarte saker helt tilbake til 2021.
Elkjøp viste til tekniske problemer. Det fritar ikke. Virksomheten har en selvstendig plikt til å legge til rette for at kundene kan bruke rettighetene sine (artikkel 12 nr. 2); et system som gjør det umulig å rette opplysninger, er nettopp problemet – ikke unnskyldningen. Å be kunden opprette en ny konto og slette den gamle, er heller ikke godt nok.
Lærdommen: ha både rutiner og teknisk evne til å svare innen fristen. «Kompleks» må vurderes fra sak til sak, aldri settes som standard.
Hvor stort kan gebyret bli – og hva avgjør størrelsen?
Det øvre taket etter artikkel 83 nr. 5 er 20 millioner euro eller 4 % av samlet global årsomsetning – det høyeste av de to. Avgjørende for næringslivet: omsetningen måles på foretaket, det vil si hele konsernet. Elkjøp eies av Currys plc, og gebyret beregnes derfor ut fra Currys’ globale omsetning på rundt 8,7 milliarder pund – om lag 108 milliarder kroner.
For et middels alvorlig brudd hos et foretak med omsetning over 500 millioner euro er startpunktet i EDPBs retningslinjer 0,4–0,8 % av omsetningen – her i størrelsesorden 430–870 millioner kroner. Gebyret på 20 millioner er altså kraftig nedjustert, blant annet på grunn av Elkjøps samarbeid, en lang saksbehandlingstid og en positiv personvernutvikling i selskapet.
Datatilsynet mente likevel bruddene var forsettlige. Samtykkeløsningen var et bevisst kommersielt valg, og Elkjøp hadde internt erkjent risikoen for at den ikke var lovlig. Et viktig poeng for ledelsen: forsett knytter seg til selve handlingen, ikke til om man visste at den var ulovlig. «Vi trodde det var i orden» er ikke et forsvar – og minstekravet er uansett uaktsomhet, der aktsomhetsnormen er streng for store kommersielle aktører (jf. EU-domstolen i Deutsche Wohnen og Borgarting lagmannsrett i Grindr-saken).
To anførsler nådde ikke fram, og begge er lærerike. At «alle i bransjen gjør det samme» er ikke formildende – tvert imot styrker det behovet for et avskrekkende gebyr (Grindr-saken). Og forbedringer gjort etter at man er tatt, endrer ikke at det forelå et brudd på tilsynstidspunktet; å bringe et ulovlig forhold til opphør er ikke i seg selv formildende. Reell modning av personvernarbeidet og godt samarbeid kan derimot redusere gebyret, slik det gjorde her.
Hva bør virksomheten gjøre nå?
Datatilsynet understreker selv at feilene i Elkjøp-saken trolig er utbredt. For virksomheter med kundeklubb eller datadrevet markedsføring peker vedtaket på en konkret tiltaksliste:
- Kartlegg behandlingsgrunnlaget for kundeklubb og markedsføring, og dokumentér det. Samtykke er ikke alltid riktig grunnlag; der det brukes, må det være reelt.
- Splitt samtykket per formål. Gi kunden separate, aktive valg for nyhetsbrev, profilering og analyse – ikke «alt eller ingenting».
- Informer før kunden sier ja. Forklar skriftlig at medlemskapet innebærer profilering og analyse, og hva det betyr – ikke overlat dette til den enkelte ansatte.
- Ikke gjenbruk kundedata til nye formål uten nytt grunnlag. Før et nytt verktøy tas i bruk, må formålet vurderes mot det opprinnelige – og som hovedregel kreves nytt samtykke.
- Skriv en ekte interesseavveining der berettiget interesse brukes. Den må veie kundens interesser og konsekvensene, inkludert deling med tredjeparter, og foreligge før behandlingen starter.
- Unngå at kundeklubben retter seg mot barn, eller innfør reell alderskontroll. Barn bør ikke profileres for markedsføring, uansett grunnlag.
- Sørg for å kunne svare på rettighetsforespørsler innen én måned – både organisatorisk og teknisk. «Kompleks» må vurderes konkret.
- Forankre dette i ledelsen. Datatilsynet behandlet feilene som forsettlige, kommersielle valg; ansvaret ligger hos virksomheten, ikke hos markedsavdelingen alene.
Kilder: Datatilsynets vedtak mot Elkjøp, 1. juni 2026; Datatilsynets veiledning om kundeklubber og personvern; Personvernrådets retningslinjer 05/2020 (samtykke) og 1/2024 (berettiget interesse); Borgarting lagmannsrett LB-2024-154313 (Grindr); EU-domstolen C-807/21 (Deutsche Wohnen).
Innholdet er generell informasjon om Elkjøp-vedtaket og utgjør ikke juridisk rådgivning i den enkelte sak.
|
Om forfatteren Kjell Steffner · Advokat Partner og leder for teknologi- og IT-praksisen i Nordia Law Kjell Steffner rådgir norske og nordiske virksomheter om personvern og GDPR, IT-kontrakter, immaterialrett og arbeidsrett, med særlig vekt på juridisk risiko ved bruk av AI. Han bistår blant annet med samtykkeløsninger, behandlingsgrunnlag og personvernkonsekvensvurderinger. |
