Kundeklubber og personvern: Datatilsynets vedtak og veiledning

Vedtaket og veiledningen gir viktige læringspunkter for virksomheter som tilbyr kundeklubber, lojalitetsprogrammer eller fordelsprogrammer, men også andre virksomheter som sender markedsføring. 

Hovedbudskapet er at rabatter og medlemsfordeler ikke gir virksomheten fritt spillerom til å analysere, profilere eller viderebruke kundedata.

Etter personvernregelverket må det foreligge et behandlingsgrunnlag for hvert formål med behandlingen. Ikke alle behandlingsgrunnlag er egnet for alle formål.

Datatilsynet uttaler blant annet at virksomheten kan behandle personopplysninger i den grad det er nødvendig for å tilby lojalitetsgodene. For eksempel kan virksomheten se på hvor mye medlemmet har handlet for å beregne bonus. Slik behandling kan som utgangspunkt skje med grunnlag i avtalen om kundeklubben eller en berettiget interesse.

For å kunne analysere kundenes handlevaner eller for å gi persontilpasset markedsføring kreves det imidlertid som hovedregel samtykke fra kunden.

Dersom samtykke brukes som behandlingsgrunnlag, må samtykket være frivillig, spesifikt, informert og utvetydig. Datatilsynet fremhever særlig følgende:

1. Kunden må få dekkende informasjon før samtykket gis. Å informere om at personopplysninger benyttes til "markedsføring" er ikke spesifikt nok.
2. Kunden kan ikke tvinges til å utlevere personopplysninger som del av en byttehandel mot generelle rabatter. Kunden må ha reell valgfrihet knyttet til behandlingen av personopplysninger, og det må være mulig å si nei uten å bli utestengt fra tjenesten eller oppleve andre ulemper.
3. Samtykket skal gis per formål og ikke som en samlet pakke, slik at kundene kan samtykke til ett formål uten å måtte samtykke til et annet. Datatilsynet uttaler for eksempel at utsendelse av generell markedsføringskommunikasjon og profilering for personlig tilpasset markedsføring utgjør separate formål. Disse krever dermed to separate samtykker.

I Elkjøp-vedtaket vurderte Datatilsynet at samtykket ikke var gyldig. Det ble ikke tydelig nok formidlet at behandlingen omfattet personalisert markedsføring, profilering og analyse. Datatilsynet reagerte også på at medlemskapet i kundeklubben ble presentert som en "pakke", der kunden ikke kunne være medlem uten samtidig å akseptere blant annet personalisering, analyse og nyhetsbrev. 

Mange virksomheter ønsker å bruke kundeklubbdata sammen med sosiale medier eller annonseplattformer, for eksempel til kundematch, målrettede kampanjer eller måling av konverteringer.

Datatilsynet uttaler i veiledningen at virksomheter ikke kan dele personopplysninger med andre virksomheter uten videre. Slike formål må defineres tydelig på forhånd, kommuniseres til kundene og ha et gyldig rettslig grunnlag, typisk et separat samtykke.

Virksomheten må ikke bare ha et behandlingsgrunnlag, men også kunne dokumentere vurderingen av dette under ansvarlighetsprinsippet i GDPR. Det er derfor viktig å ha skriftlige vurderinger av behandlingsgrunnlaget.

Datatilsynet minner også i veiledningen om at personopplysninger ikke skal lagres lenger enn nødvendig. Det må fastsettes rimelige sletteregler per formål. Opplysninger som lagres for eksempel for bokføringsformål skal lagres separat og ikke brukes til andre formål. Tilgangen må begrenses til dem som faktisk trenger opplysningene for det gitte formålet.