Logo og hjelpeverktøy

Hovedmeny

Tilsyn med Elkjøp

Datatilsynet gjennomførte den 20. og 22. juni tilsyn med Elkjøp Nordic AS og Elkjøp Norge AS. Tilsynet ble gjennomført i Elkjøp Nordic sine lokaler i Nydalen.

Tilsyn med Elkjøp
Tilsyn med Elkjøp

Under tilsynet så vi nærmere på om Elkjøps behandling av personopplysninger er i tråd med kravene i personopplysningsloven og personvernforordningen. Temaet for tilsynet var Elkjøps behandling av kundeopplysninger.

- Datatilsynet har over en lengre periode mottatt flere klager og avviksmeldinger knyttet til behandling av kundeopplysninger i Elkjøp. Gjennomføring av tilsyn og kontroll er en viktig og effektiv arbeidsmetode for Datatilsynet for å undersøke det systematiske personvernarbeidet i en virksomhet. Det gir også den behandlingsansvarlige muligheten til å understøtte og påvise det personvernarbeidet som virksomheten har lagt ned, sier Sindre Dyrhovden, tilsynsleder og juridisk rådgiver i Datatilsynet.

Fokus på kundeopplysninger

Under tilsynet ble det blant annet sett nærmere Elkjøps interne roller og ansvar for behandling av kundeopplysninger mellom konsernselskaper og franchisetakere i henhold til reglene for behandlingsansvar, felles behandlingsansvar og databehandleransvar (artikkel 24, 26 og 28 i forordningen).

Videre så vi nærmere på lovligheten av Elkjøps behandling av personopplysninger i kundeklubb og for markedsføringsformål (artikkel 6 i forordningen). Særlig viktig var også spørsmål om Elkjøps organisatoriske tiltak og rutiner for å sikre at den registrerte kan utøve sine rettigheter i henhold til personvernforordningen 12-22. Til sist undersøkte vi Elkjøps praktisering av personopplysningssikkerhet i forbindelse med service og videresalg av smartprodukter som inneholder kundeopplysninger (artikkel 32 i forordningen).

Tilsynet har blant annet omfattet gjennomgang av dokumenter, stikkprøver i systemer, og intervjuer av ledelse og andre medarbeidere.

- Virksomheter som driver varehandel behandler ofte store mengder kundeopplysninger. Det er derfor viktig å avklare praksis for hvordan slike aktører arbeider med etterlevelse av regelverket og hvordan de legger til rette for at kundeopplysninger behandles på en lovlig og transparent måte, sier Sindre Dyrhovden.

Strategiske tilsyn

Datatilsynet bruker tilsyn strategisk både for å avklare praksis og for å skape oppmerksomhet om kravene i regelverket. Formålet med de fleste tilsynene vi gjennomfører, går derfor utover det å bare kontrollere regelverksetterlevelse hos den én virksomhet. Signaleffekten er viktig.

- Vi arbeider for at tilsynsaktiviteten vår skal bidra til bedre etterlevelse hos et større antall virksomheter. Tilsynet med Elkjøp vil også kunne gi oss en pekepinn for arbeid med personvern for andre virksomheter i varehandelbransjen, sier Sindre Dyrhovden.