Πρόγραμμα πιστότητας πελατών: 1.8 εκατ. ευρώ πρόστιμο για άκυρη συγκατάθεση και παράνομες πρακτικές ψηφιακού μάρκετινγκ

Διοικητικό πρόστιμο ύψους 20.000.000 νορβηγικών κορωνών (περίπου 1.838.000 ευρώ) επέβαλε η νορβηγική αρχή προστασίας δεδομένων Datatilsynet στις εταιρείες Elkjøp Nordic AS και Elkjøp Norge AS, έπειτα από έλεγχο που αφορούσε την επεξεργασία δεδομένων πελατών στο πλαίσιο του προγράμματος πιστότητας της εταιρείας, τη χρήση εργαλείων ψηφιακού μάρκετινγκ και τη διαχείριση αιτημάτων υποκειμένων των δεδομένων.

Η Elkjøp περιγράφεται στην απόφαση ως η μεγαλύτερη επιχείρηση λιανικής πώλησης ηλεκτρονικών ειδών στις σκανδιναβικές χώρες, με δραστηριότητα τόσο μέσω διαδικτύου όσο και μέσω περισσότερων από 400 φυσικών καταστημάτων. Ο όμιλος δραστηριοποιείται σε πολλές χώρες της βόρειας Ευρώπης μέσω διαφορετικών εμπορικών σημάτων.

Η υπόθεση ξεκίνησε ύστερα από επιτόπιο έλεγχο που πραγματοποιήθηκε στις 20 και 22 Ιουνίου 2022 στα γραφεία της εταιρείας στο Όσλο. Σύμφωνα με την απόφαση, αφορμή για τον έλεγχο αποτέλεσαν αναφορές παραβιάσεων δεδομένων, καταγγελίες και πληροφορίες που είχαν περιέλθει στη νορβηγική αρχή σχετικά με το πρόγραμμα πιστότητας πελατών της εταιρείας.

Τα προβλήματα της συγκατάθεσης

Η πρώτη και σημαντικότερη παράβαση αφορούσε τη συγκατάθεση που συλλεγόταν για τη συμμετοχή στο πρόγραμμα πιστότητας. Η εταιρεία βασιζόταν στη συγκατάθεση ως νομική βάση για την επεξεργασία δεδομένων, υποστηρίζοντας ότι σκοπός του προγράμματος ήταν η προώθηση προϊόντων και υπηρεσιών. Παράλληλα όμως, η συγκατάθεση κάλυπτε ένα ευρύ φάσμα δραστηριοτήτων, όπως αποστολή ενημερωτικών δελτίων, αποστολή γραπτών μηνυμάτων, κατάρτιση προφίλ πελατών, εξατομίκευση περιεχομένου και αναλύσεις συμπεριφοράς.

Η αρχή έκρινε ότι οι επεξεργασίες αυτές δεν εξυπηρετούσαν έναν ενιαίο και επαρκώς προσδιορισμένο σκοπό. Αντίθετα, θεώρησε ότι η πρακτική της εταιρείας συνιστούσε εξατομικευμένη διαφήμιση, η οποία διαφοροποιείται από την απλή παροχή γενικών εκπτώσεων ή προνομίων προς τους πελάτες.

Κατά την κρίση της αρχής, η συγκατάθεση δεν ήταν συγκεκριμένη, καθώς διαφορετικοί σκοποί επεξεργασίας είχαν συνδεθεί σε έναν γενικό σκοπό, ενώ δεν ήταν ούτε ελεύθερη, αφού ο πελάτης δεν μπορούσε να επιλέξει χωριστά ποιες πράξεις επεξεργασίας ήθελε να αποδεχθεί. Η ίδια η εταιρεία περιέγραφε το μοντέλο ως «all or nothing» και ως «πακέτο», αφού η συμμετοχή στο πρόγραμμα προϋπέθετε ταυτόχρονα αποδοχή της κατάρτισης προφίλ, της εξατομίκευσης και της ανάλυσης της συμπεριφοράς των πελατών Παράλληλα, η Datatilsynet έκρινε ότι η συγκατάθεση δεν ήταν εν πλήρει επιγνώσει, καθώς οι πελάτες ενημερώνονταν κυρίως για εκπτώσεις, προσφορές και άλλα οφέλη, χωρίς να τους εξηγείται με σαφήνεια ότι τα πλεονεκτήματα αυτά βασίζονταν σε εξατομικευμένη διαφήμιση, κατάρτιση προφίλ και αναλύσεις δεδομένων ούτε ποιες θα ήταν οι συνέπειες της συγκατάθεσής τους.

Η νορβηγική αρχή έδωσε ιδιαίτερη έμφαση και στο ζήτημα των ανηλίκων. Διαπίστωσε ότι το όριο ηλικίας συμμετοχής στο πρόγραμμα ήταν τα 15 έτη, χωρίς όμως να υπάρχουν μηχανισμοί επαλήθευσης ηλικίας, ενώ επ’ αυτού σημείωσε ότι τα παιδιά χρήζουν ειδικής προστασίας ως προς την επεξεργασία προσωπικών δεδομένων και ότι δεν θα πρέπει να υπόκεινται σε κατάρτιση προφίλ για σκοπούς μάρκετινγκ, συμπεριλαμβανομένων των ηλικιών 15 έως 17 ετών.

Τα εργαλεία ψηφιακού μάρκετινγκ

Η δεύτερη παράβαση αφορούσε το εργαλείο «CustomerMatch», μέσω του οποίου διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμοί τηλεφώνου πελατών επρόκειτο να αντιστοιχηθούν με χρήστες διαφημιστικών πλατφορμών, με σκοπό αποτελεσματικότερη διαφήμιση, στοχευμένη προσέγγιση συγκεκριμένων ομάδων πελατών και καλύτερη αξιοποίηση της διαφημιστικής δαπάνης.

Η αρχή έκρινε ότι επρόκειτο για νέα χρήση δεδομένων που είχαν αρχικά συλλεγεί στο πλαίσιο του προγράμματος πιστότητας, χωρίς ωστόσο να έχει προηγηθεί η απαιτούμενη αξιολόγηση συμβατότητας σκοπών σύμφωνα με το άρθρο 6 παρ. 4 ΓΚΠΔ, αφού η εταιρεία θεώρησε ότι δεν ήταν αναγκαία.

Πέραν αυτού, η αρχή απέρριψε και την επίκληση του εννόμου συμφέροντος ως νομικής βάσης της εν λόγω επεξεργασίας δεδομένων. Όπως αναφέρεται στην απόφαση, οι πελάτες δεν μπορούσαν ευλόγως να αναμένουν ότι δεδομένα τα οποία παρείχαν στο πλαίσιο συγκατάθεσης για συμμετοχή στο πρόγραμμα πιστότητας θα χρησιμοποιούνταν αργότερα για διαφορετικούς σκοπούς ή θα διαβιβάζονταν σε τρίτους μέσω του Customer Match.

Η τρίτη παράβαση αφορούσε τη χρήση του εργαλείου «OfflineConversions», το οποίο χρησιμοποιείτο για τη μέτρηση της επίδρασης της ψηφιακής διαφήμισης στις πωλήσεις φυσικών καταστημάτων. Μετά από αγορές σε καταστήματα της εταιρείας, δεδομένα αποστέλλονταν στις Google και Facebook ώστε να συσχετίζονται οι αγορές με προηγούμενα κλικ σε διαδικτυακές διαφημίσεις.

Η νορβηγική αρχή δεν κατέληξε στο ερώτημα αν το έννομο συμφέρον θα μπορούσε κατ’ αρχήν να αποτελέσει έγκυρη νομική βάση για τη συγκεκριμένη επεξεργασία. Έκρινε όμως ότι η αξιολόγηση που είχε συντάξει η εταιρεία ήταν ανεπαρκής και δεν περιλάμβανε κρίσιμα στοιχεία, όπως ο αριθμός των επηρεαζόμενων προσώπων, οι κατηγορίες δεδομένων που υποβάλλονταν σε επεξεργασία, η συμμετοχή ανηλίκων, οι εύλογες προσδοκίες των πελατών και οι πιθανές συνέπειες από τη διαβίβαση δεδομένων σε τρίτους. Ως αποτέλεσμα, η εταιρεία δεν μπορούσε να αποδείξει ότι η επεξεργασία ήταν νόμιμη.

Η διαχείριση των αιτημάτων των υποκειμένων των δεδομένων

Τέλος, η αρχή διαπίστωσε παραβιάσεις σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων. Κατά τον έλεγχο εντοπίστηκαν εκκρεμή αιτήματα ήδη από τον Φεβρουάριο του 2021, ενώ την 1η Ιουνίου 2022 υπήρχαν 75 ανεπίλυτες υποθέσεις που είχαν υπερβεί την προβλεπόμενη προθεσμία του ενός μήνα. Η εταιρεία αντιμετώπιζε αυτομάτως τα αιτήματα διόρθωσης διευθύνσεων ηλεκτρονικού ταχυδρομείου ως «σύνθετα», παρατείνοντας συστηματικά τις προθεσμίες χωρίς εξατομικευμένη αξιολόγηση. Σε ορισμένες περιπτώσεις είχαν παραβιαστεί ακόμη και οι παραταθείσες τρίμηνες προθεσμίες.

Κατά την επιμέτρηση της κύρωσης, η αρχή τόνισε ότι οι παραβάσεις αφορούσαν θεμελιώδεις αρχές του ΓΚΠΔ, επηρέαζαν μεγάλο αριθμό προσώπων και περιλάμβαναν και δεδομένα ανηλίκων. Η εταιρεία είχε δηλώσει πελατειακή βάση 11 εκατομμυρίων ατόμων και 6,7 εκατομμύρια μέλη στο πρόγραμμα πιστότητας.

Ιδιαίτερη σημασία αποδίδεται και στην εκτίμηση της αρχής ότι οι παραβάσεις τελέστηκαν εκ προθέσεως, υπό την έννοια ότι οι σχετικές πρακτικές αποτελούσαν συνειδητές επιχειρηματικές επιλογές της εταιρείας.

Παράλληλα, συνεκτιμήθηκαν ως ελαφρυντικά στοιχεία η συνεργασία της εταιρείας με την εποπτική αρχή, οι διορθωτικές ενέργειες που υλοποιήθηκαν μετά τον έλεγχο και η μεγάλη διάρκεια της διοικητικής διαδικασίας. Για τον λόγο αυτό, η αρχή κατέληξε σε πρόστιμο 20 εκατ. νορβηγικών κορωνών, επισημαίνοντας ότι το ποσό αυτό είναι σημαντικά χαμηλότερο από το εύρος που θα προέκυπτε από την εφαρμογή των κατευθυντήριων γραμμών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων.