2000 万挪威克朗!挪威 Datatilsynet 因未经有效同意处理个人数据对 Elkjøp 处以罚款

来源:出海互联网法律观察

文章摘要
2026 年 6 月 4 日,挪威数据保护局(Datatilsynet)宣布,因违反欧盟《通用数据保护条例》(GDPR)多项核心条款,对 Elkjøp Nordic AS 和 Elkjøp AS(以下

2026 年 6 月 4 日,挪威数据保护局(Datatilsynet)宣布,因违反欧盟《通用数据保护条例》(GDPR)多项核心条款,对 Elkjøp Nordic AS 和 Elkjøp AS(以下统称 “Elkjøp”)处以总计 2000 万挪威克朗(约合 214 万美元)的罚款,该案涉及北欧地区超过 600 万名客户俱乐部会员的个人数据权益。
Elkjøp 公司做了什么?
挪威数据保护局在收到多起关于 Elkjøp 客户俱乐部的数据泄露通知、用户投诉及行业举报后,于 2022 年 6 月对 Elkjøp 启动正式审计调查。
Elkjøp 运营的客户俱乐部核心目的为推广公司产品和服务,其主张以 “用户同意” 作为处理会员个人数据的唯一合法依据。但经审计发现,Elkjøp 在获取用户同意及后续数据处理全流程中存在多项严重违规行为,导致北欧地区超 600 万名会员的个人数据权益受到侵害。
挪威 Datatilsynet 的法律依据和调查结果
挪威数据保护局经全面审计,认定 Elkjøp 严重违反了 GDPR 下的个人信息保护核心义务。具体体现在三个维度:
不存在知情同意:Elkjøp 未向客户提供足够清晰、全面的信息,导致客户无法充分了解其同意加入俱乐部并授权数据处理的全部后果,包括数据将被用于哪些具体营销活动、会与哪些第三方共享等关键内容。
同意并非出于自愿:Elkjøp 将客户提供个人数据并授权处理与一般商品折扣强制绑定,客户若拒绝授权数据处理则无法享受俱乐部会员的基础折扣权益,构成了 “捆绑同意”,违背了 GDPR 要求的自愿原则。
同意并不具体明确:Elkjøp 仅笼统地将数据处理目的描述为 “营销”,未明确区分不同类型的处理活动,例如用户画像构建、精准广告推送、跨渠道营销追踪等,导致用户无法针对性地授权或拒绝特定的数据处理行为。
此外,Datatilsynet 还发现 Elkjøp 存在其他多项违规:未对将个人数据用于新用途进行必要的兼容性评估;未能正确评估 “合法利益” 作为替代法律依据的可行性及必要性;未在 GDPR 规定的法定时间内回应数据主体提出的查阅、更正、删除等权利请求。
本案涉及了GDPR哪些条款?
🇪🇺 GDPR 第4 (11) 条、第5 (1)(a) 条、第5 (2) 条、第6 (1) 条、第6 (4) 条、第12 (3) 条。
第4 (11) 条:明确 “数据主体的同意” 是指数据主体在知情、自愿、具体的前提下,通过声明或清晰的肯定性行为作出的,对其个人数据进行处理的意愿表示。
第5 (1)(a) 条:处理数据主体的个人信息,应当以合法的、合理的和透明的方式来进行处理。
第5 (2) 条:数据控制者应当对遵守上述数据处理原则负责,并能够证明其合规性。
第6 (1) 条:只有在符合本条规定的合法基础之一时,对个人信息的处理才属于合法,其中包括数据主体已经明确同意一项或多项的数据使用目的。
第6 (4) 条:如果数据处理的目的超出了最初收集个人数据时所声明的目的,数据控制者应当在进行该进一步处理之前,评估该处理是否与最初的目的兼容,并采取必要的保障措施。
第12 (3) 条:数据控制者应当在收到数据主体的权利请求后,在法定时限内无不当延迟地采取行动,并告知数据主体处理结果。
为出海企业敲响了警钟
本案是挪威针对 “无效同意” 问题作出的典型高额罚款案例,核心警示了出海企业在运营会员体系、开展营销活动时,极易踩中的合规红线:
同意获取 “形式化”:仅通过勾选 “我已阅读并同意隐私政策” 的单一方式获取同意,未向用户清晰、具体地说明数据处理的全部内容和后果。
“捆绑同意” 违规:将数据处理授权与核心服务或基础权益强制绑定,剥夺用户自由选择的权利,这是 GDPR 明确禁止的行为。
处理目的 “模糊化”:使用 “营销”“服务优化” 等笼统表述描述数据处理目的,未区分不同类型的处理活动,导致同意不具备特定性。
目的外处理无评估:在超出最初声明的目的使用个人数据时,未进行兼容性评估和风险论证,也未重新获取用户同意。
数据主体权利响应不及时:未建立完善的用户权利请求处理流程,无法在法定时限内回应用户的查阅、删除等请求。
本案反映的欧盟数据监管趋势?
结合近期欧盟各国数据保护局的密集执法行动,本案进一步印证了欧盟数据监管正在向以下方向深化:
对 “同意有效性” 的审查趋于极致严格:监管机构不再满足于企业获取了用户的 “形式同意”,而是深入审查同意是否真正满足知情、自愿、具体三大核心要件,“捆绑同意”“笼统同意” 将成为重点打击对象。
大规模用户数据处理场景成为监管重中之重:涉及数百万甚至数千万用户的会员体系、营销平台等,一旦存在系统性合规缺陷,将面临高额罚款和严格的后续监管。
全流程合规监管成为常态:监管机构不再仅关注数据收集环节,而是延伸至数据处理的全生命周期,包括目的外使用、第三方共享、用户权利响应等多个环节。
参考文献:
https://www.dataguidance.com/news/norway-datatilsynet-fines-elkjop-nok-20m-processing
https://gdpr-info.eu/

技术驱动法律,专业成就未来