Norjan tietosuojaviranomainen: Gigantin emoyhtiölle 1,85 miljoonan euron seuraamusmaksu tietosuojarikkomuksista klubijäsenten henkilötietojen käsittelyssä
Norjan tietosuojaviranomainen on määrännyt Elkjøpille 20 miljoonan Norjan kruunun suuruisen hallinnollisen seuraamusmaksun tietosuojalainsäädännön rikkomisesta. Elkjøp oli käsitellyt klubijäsentensä henkilötietoja ilman pätevää suostumusta. Toiminta on koskenut myös Gigantti-klubin suomalaisia asiakkaita, sillä Gigantti on osa Pohjoismaissa toimivaa Elkjøp Nordic -konsernia.
Norjan tietosuojaviranomainen teki tarkastuksen Elkjøp Nordicin ja Elkjøp Norgen toiminnasta vuonna 2022. Tarkastuksessa havaittiin useita tietosuojalainsäädännön rikkomuksia, jotka vaikuttivat yli kuuteen miljoonaan asiakasklubin jäseneen Pohjoismaissa.
Tietosuojaviranomaisen mukaan Elkjøpillä ei ollut pätevää suostumusta klubijäsenten henkilötietojen käsittelyyn, sillä se ei ollut suostumusta pyytäessään eritellyt kaikkia tarkoituksia, joihin henkilötietoja käsiteltiin. Elkjøp ei myöskään antanut asiakkaille riittävästi tietoa siitä, mihin heidän tietojaan käytetään.
Asiakkaalle on aina kerrottava selkeästi, millaiseen henkilötietojen käsittelyyn häneltä kysytään suostumusta. Käyttötarkoitukset on yksilöitävä, ja eri tarkoituksia varten on pyydettävä erilliset suostumukset. Erilaisia tarkoituksia voivat olla esimerkiksi markkinointiviestintä, profilointi tai tietojen jakaminen markkinointi- ja analytiikkakumppaneille.
Norjan tietosuojaviranomaisen tarkastuksessa selvisi myös muita tietosuojapuutteita. Elkjøp ei ollut vastannut asiakkaiden omia henkilötietoja koskeviin pyyntöihin määräajassa. Se ei myöskään ollut tehnyt tarvittavia arviointeja klubijäsenten tietojen käytöstä uusiin tarkoituksiin, eikä arvioinut riittävän perusteellisesti, voiko henkilötietojen käsittely perustua oikeutettuun etuun.
Päätös tehtiin tietosuojaviranomaisten yhteistyössä. Norjan tietosuojaviranomainen toimi johtavana valvontaviranomaisena, koska Elkjøp-konsernin päätoimipaikka sijaitsee Norjassa. Suomen, Ruotsin, Islannin ja Tanskan tietosuojaviranomaiset osallistuivat asian käsittelyyn.
Päätös ei ole vielä lainvoimainen.
Lisätietoja:
Norjan tietosuojaviranomaisen tiedote 4.6.2026: Overtredelsesgebyr til Elkjøp (datatilsynet.no)