企业官网建设流程全解析

挪威数据保护局 (Datatilsynet) 对电子产品零售巨头 Elkjøp 处以 2000 万挪威克朗（约合 210 万美元）的行政罚款，原因是该公司违反了 GDPR 的多项规定，涉及其客户俱乐部、定向营销活动以及对客户隐私请求的处理。

监管机构发现，该公司依赖无效的同意机制，某些广告工具缺乏合法依据，并且未能在法律规定的期限内处理数据主体请求。

此前，挪威数据保护局 (Datatilsynet) 于 2022 年 6 月对 Elkjøp 位于奥斯陆的办公室进行了现场检查。此前，Datatilsynet 收到了有关该零售商会员俱乐部的数据泄露通知、投诉和举报。调查人员审查了该公司对客户信息的处理方式，包括营销活动、用户画像分析以及处理隐私权请求的流程。

根据荷兰数据保护局 (Datatilsynet)的说法，Elkjøp 的客户俱乐部采用的同意模式不符合 GDPR 的要求。调查人员得出结论，从客户那里获得的同意既不具体，也不知情，更谈不上自由。会员资格将多种数据处理活动捆绑在一起，包括新闻通讯、短信营销、用户画像、个性化和分析，而没有允许用户单独同意各项用途。该机构还发现，客户在被告知可享受折扣和优惠的同时，却没有获得关于其数据被进行的用户画像和分析的充分信息。

对 Elkjøp 处以行政罚款

挪威数据保护局对 Elkjøp 处以 2000 万挪威克朗的行政罚款，原因是该公司未经有效同意在其客户俱乐部处理个人数据。

背景

我们于2022年6月对Elkjøp Nordic AS和Elkjøp Norge AS进行了检查。此次检查涉及Elkjøp在其客户俱乐部中对个人数据的处理情况。此前，我们收到了多起关于该客户俱乐部的数据泄露通知、投诉和举报，因此启动了此次检查。

在检查过程中，Elkjøp 表示，客户俱乐部的目的是推销产品和服务，而处理客户俱乐部相关个人数据的法律依据是同意。

违反GDPR的行为

检查结果显示存在多项违规行为：

• Elkjøp 未就客户俱乐部相关事宜收集处理个人数据的有效同意。

• Elkjøp 没有就个人数据用于新用途进行必要的评估。

• Elkjøp 没有对合法利益作为处理的法律依据进行足够彻底的评估。

• Elkjøp 没有在GDPR规定的期限内回应客户的数据主体权利请求。

阐述客户忠诚度计划面临的挑战

该案例凸显了在会员俱乐部和会员忠诚度计划中处理个人数据时可能出现的挑战。虽然违规行为本身并非最严重，但很可能是许多组织都会犯的常见错误。会员俱乐部中违反关键数据保护规则的行为往往会影响到大量个人。

因此，Elkjøp 案例为企业在会员俱乐部处理客户个人数据时必须注意的事项提供了若干重要教训。本文稍后将更详细地讨论这些教训。

在 Elkjøp 一案中，北欧各国超过六百万会员俱乐部成员受到违规行为的影响。因此，我们认为有必要对此案处以行政罚款。罚款金额根据 Elkjøp 所属企业的营业额确定。虽然罚款金额绝对值较高，但相对于该企业的整体营业额而言，罚款数额相对较低。

本案作为跨境案件处理。瑞典、冰岛、芬兰和丹麦的数据保护机构作为相关监管机构，有机会对决定草案发表意见。最终决定是根据《通用数据保护条例》（GDPR）下建立的合作与一致性机制作出的。该决定可向奥斯陆地方法院提起上诉。

客户俱乐部和数据保护

越来越多的零售企业开始提供会员俱乐部或积分奖励计划。所有此类计划都涉及个人数据的处理，因此必须遵守数据保护法规。

一般而言，企业应避免在结账时向顾客提供一般折扣以换取他们加入会员俱乐部，以免顾客最终“同意”企业以他们可能未曾预料或感到不舒服的方式使用他们的个人数据。

许多企业希望利用客户的个人数据进行定向营销或购买行为分析。在这种情况下，征得同意通常是处理个人数据最合适的法律依据。Elkjøp 案的调查有力地提醒我们，根据 GDPR，有效​​同意必须满足以下条件：

• 同意必须是知情同意。商家必须确保顾客在加入会员俱乐部时获得充分的信息，了解他们同意的内容，以便他们能够预见同意的后果。如果在结账时以口头方式提供信息，则可能难以满足知情同意的要求，因为不同员工提供的信息可能有所不同。此外，信息必须在获得同意之前提供。事后提供的信息不符合知情同意的要求。

• 同意必须是自愿的。自愿同意的要求意味着客户必须对其个人数据的处理拥有真正的选择权，并且能够在拒绝的情况下不被排除在服务之外或遭受其他不利影响。企业不得以提供一般折扣为交换条件，要求或胁迫客户披露个人数据。

• 同意必须具体明确。同意必须清晰地指明和定义个人数据的使用目的。仅仅提及“营销”是不够具体的。例如，发送一般营销信息和进行用户画像分析以实现个性化营销是不同的目的。客户不应被迫做出“非此即彼”的选择，而应能够分别同意每一项需要征得同意的目的。

• 与第三方共享数据受到诸多限制。许多企业会与第三方（例如社交媒体平台）共享个人数据，以开展营销活动或进行数据分析。然而，个人数据并非可以随意与其他组织共享。此类共享通常出于一个或多个特定目的，这些目的必须明确界定并告知客户。此外，企业在开始共享之前，必须仔细评估其是否具有合法有效的法律依据。

挪威数据保护局此前曾发布过针对运营会员俱乐部的企业的实用指南。根据埃尔克约普事件的调查经验和调查结果，该指南已进行了更新。

下载

最终决定 - Elkjøp Nordic AS（英语，pdf）

Elkjøp 是北欧地区最大的消费电子产品零售商，在挪威、瑞典、丹麦、芬兰、冰岛、法罗群岛和格陵兰岛经营着 400 多家门店，旗下拥有多个区域品牌，包括 Elkjøp、Elgiganten 和 Gigantti。

监管机构的主要担忧在于该零售商使用谷歌的Customer Match广告平台。德国数据安全局（Datatilsynet）发现，通过会员俱乐部收集的客户信息随后被用于受众匹配和定向广告，而没有合法依据。监管机构认定，客户不能合理地预期他们的数据会被重新用于涉及第三方平台的广告活动，尤其是在原始同意中未涵盖此类用途的情况下。

调查还审查了 Elkjøp 对“线下转化率”的使用情况。这是一种营销衡量技术，它会将顾客的购买数据发送到 Google 和 Meta 等平台，以确定线上广告是否促成了线下销售。虽然荷兰数据保护局 (Datatilsynet) 并未就该工具本身的合法性做出裁决，但它发现 Elkjøp 未能充分记录和评估其声称的合法权益依据。该机构表示，该公司的评估忽略了诸多因素，例如受影响人数、儿童数据的处理、顾客的期望以及与广告公司共享信息可能带来的后果。

另一项违规行为涉及该公司对客户隐私请求的处理。荷兰数据保护局 (Datatilsynet) 发现，部分请求数月甚至一年多都未得到解决。该零售商惯常将电子邮件地址更正请求归类为“复杂”请求，自动延长了 GDPR 规定的一个月回复期限。监管机构认定，这种一刀切的延期做法违法，并且 Elkjøp 甚至在 GDPR 规定的最长三个月期限内也未能对某些请求作出回应。

受影响的数据主体中部分是儿童，监管机构认为这是一个加重情节。调查人员发现，该会员俱乐部在检查时接纳的会员年龄最小的只有15岁，但缺乏有效的年龄验证机制。

尽管监管机构将违规行为描述为中等程度的轻微违规，但它认定这些违规行为触及了GDPR的核心原则，并影响了大量个人。Datatilsynet也承认存在一些减轻处罚的因素，包括Elkjøp在检查后实施的改进措施以及漫长的调查过程，这些因素促成了最终罚款金额的降低。