Datatilsynet mener Elkjøp behandlet personopplysninger uten gyldig samtykke fra kundene.
Tilsynet ble gjennomført i juni 2022 etter flere meldinger om sikkerhetsbrudd, klager og tips om kundeklubben.
Datatilsynet fant flere brudd på personvernreglene. Ifølge tilsynet hadde Elkjøp ikke gyldig samtykke til å bruke personopplysninger i kundeklubben. Selskapet hadde heller ikke gjort gode nok vurderinger før opplysningene ble brukt til nye formål.
Elkjøp skal også ha brukt feil eller mangelfullt grunnlag for deler av behandlingen av personopplysninger. I tillegg svarte selskapet ikke raskt nok på henvendelser fra kunder som ville bruke rettighetene sine etter personvernreglene.
Over 6 millioner medlemmer av Elkjøps kundeklubb i Norden var berørt av bruddene.
Datatilsynet skriver at kundeklubber ofte berører mange personer, og at saken viser feil som trolig er utbredt i mange virksomheter.
Saken gjelder Elkjøp Nordic AS og Elkjøp Norge AS. Den er behandlet sammen med datatilsynene i Sverige, Island, Finland og Danmark.
Vedtaket kan bringes inn for Oslo tingrett, opplyser Datatilsynet.
