AIGATO.

Kunstig intelligens · Regulering · Hva det betyr for Norge

Norge DigitaltPublisert 15. juli 2026

Datatilsynet ila Elkjøp 20 millioner kroner i gebyr for ulovlig kundeklubbdrift

Fire brudd på GDPR, over seks millioner berørte og et gebyr satt til en brøkdel av maksimalt nivå. Vedtaket konkretiserer hva personvernforordningen faktisk krever av lojalitetsprogrammer.

TIMUR AKTAS · Ansvarlig redaktør · 15. juli 2026
AI-generert · redaksjonelt kontrollert

Datatilsynet gjennomførte stedlig tilsyn hos Elkjøp Nordic AS og Elkjøp Norge AS i juni 2022. Vedtaket om gebyr kom fire år senere. Foto: Illustrasjon

Datatilsynet konkluderte 1. juni 2026 med at Elkjøps kundeklubb brøt personvernforordningen på fire punkter og ila selskapet et overtredelsesgebyr på 20 millioner kroner. Saken avdekker systematiske feil som er utbredt i handelsnæringen: ugyldige samtykker, ulovlig viderebruk av kundedata og mangelfull håndtering av innsynsforespørsler.

Da en Elkjøp-kunde meldte seg inn i kundeklubben, fikk hun én boks å huke av: ja til nyhetsbrev, SMS, profilering, personalisering og analyse – alt samlet i ett felles samtykke. Hva hun faktisk hadde samtykket til, fremgikk ikke. Det er kjernen i Datatilsynets vedtak.

Tilsynet gjennomførte stedlig tilsyn hos Elkjøp Nordic AS og Elkjøp Norge AS i juni 2022, etter å ha mottatt meldinger om sikkerhetsbrudd og klager på kundeklubben. Vedtaket kom 1. juni 2026 – fire år og flere prosessrunder senere. Gebyret på 20 millioner kroner er beregnet med utgangspunkt i omsetningen til morselskapet Currys plc og er ifølge Datatilsynet satt forholdsmessig lavt.

Fire brudd, seks millioner berørte

Datatilsynet identifiserte fire overtredelser av GDPR. Samtykket var ugyldig: Elkjøp krevde at kunder aksepterte alle behandlingsformål samlet for å bli med i kundeklubben – såkalt «bundlet samtykke» – uten at hvert formål var tilstrekkelig definert. Samtykket var dermed verken spesifikt, frivillig eller informert.

Elkjøp viderebehandlet dessuten kundeopplysninger i et kundematch-verktøy der e-postadresser og telefonnumre ble matchet mot annonseplattformer for målrettet markedsføring, uten forenlighetsanalyse eller nytt rettslig grunnlag. Selskapet manglet dokumenterte vurderinger av lovligheten av flere behandlingsaktiviteter, og besvarte ikke rettighetsforespørsler fra kunder innen fristen forordningen stiller. Til sammen var over seks millioner kundeklubbmedlemmer i Norden berørt.

Et skjerpende element i gebyrutmålingen er at overtredelsene ble ansett som forsettlige. Datatilsynet la til grunn at samtykkeløsningen var et bevisst kommersielt valg, og at selskapet internt hadde anerkjent risikoen for at den var ulovlig. Elkjøp bestrider konklusjonene og har ifølge Tek.no ikke tatt stilling til om vedtaket vil bli brakt inn for Oslo tingrett.

Gebyret er langt under maksimalt nivå

Gebyret er beregnet med utgangspunkt i Currys plc sin globale omsetning på om lag 8,7 milliarder britiske pund. Etter Personvernrådets (EDPB) veiledning for middels alvorlige brudd fra store konserner ville startpunktet ligget mellom 0,4 og 0,8 prosent av omsetningen – tilsvarende 430 til 870 millioner kroner. De 20 millionene ligger i nedre sjikt, delvis som følge av Elkjøps samarbeid med tilsynet, lang saksbehandlingstid og personverntiltak iverksatt etter tilsynsbesøket.

Datatilsynets høyeste gebyr i Norge er fortsatt de 65 millioner kronene Grindr fikk i 2021 for ulovlig deling av brukerdata med annonseselskaper – opprettholdt av Borgarting lagmannsrett i oktober 2025. I europeisk målestokk er begge beskjedne: det nederlandske datatilsynet ila i mai 2026 det russiskeide taxiselskapet MLU B.V., som eier Yango-appen, et gebyr på 100 millioner euro for overføring av personopplysninger om norske og finske brukere til Russland uten tilstrekkelig beskyttelse. Datatilsynet deltok aktivt også i den saken.

Hva vedtaket krever av virksomheter

Elkjøp-saken konkretiserer hva GDPR forutsetter av en kundeklubb. Samtykke til markedsføring, profilering og analyse er ikke samme formål – de må innhentes separat, med aktiv bekreftelse fra kunden, og ikke som vilkår for tilgang til kundeklubbens rabatter. Informasjonen må foreligge før samtykket avgis, ikke etterpå.

Datatilsynet avviser også forestillingen om at innsamlede data fritt kan brukes til nye formål under et bredt markedsføringsformål. Er opplysninger samlet inn på grunnlag av samtykke, er viderebehandling til nye formål som hovedregel utelukket uten nytt samtykke. Å bytte rettslig grunnlag til «berettiget interesse» i ettertid er ikke tilstrekkelig.

Tilsynet understreker at brudd på plikten til å besvare innsynsforespørsler innen én måned er et selvstendig brudd – tekniske problemer er ikke et gyldig unntak, og å be kunden opprette en ny konto løser ikke forholdet. Datatilsynet har oppdatert sin veiledning om kundeklubber og personvern i etterkant av vedtaket.

Saken er behandlet som en grenseoverskridende sak etter GDPRs samarbeids- og konsistensmekanisme, med Datatilsynet som ledende tilsynsmyndighet og tilsynsmyndighetene i Sverige, Island, Finland og Danmark som berørte myndigheter. Vedtaket kan ikke påklages til Personvernnemnda, men kan bringes inn for Oslo tingrett.

Økt tilsynspress fremover

Datatilsynets aktivitetsnivå er høyt. Parallelt med Elkjøp-vedtaket varslet tilsynet i april 2026 et nytt tilsyn med Nav, der tilgangsstyring, logging og kontroll igjen er tema. Alle landets kommuner er underlagt et omfattende tilsyn som del av Totalforsvarsåret 2026, og Forbrukerrådet og personvernorganisasjonen NOYB har klaget Schibsted inn for mediehuset nye betalingsmodell for personvern.

Lov om kunstig intelligens, som skal gjøre EUs KI-forordning til norsk rett, ble sendt på høring 30. juni 2025 med planlagt ikrafttredelse seinsommeren 2026. Datatilsynet er blant myndighetene som skal bygge en ny KI-sandkasse i samarbeid med Digdir og Nkom. Tilsynet har signalisert at skjæringspunktet mellom personvernplikter og KI-regulering vil bli prioritert fremover.

Få dette rett i innboksen

De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.

Kun nyhetsbrevet, ingen spam. Meld deg av når som helst.

Kilde: https://www.datatilsynet.no/aktuelt/
Bakgrunnskilder: Datatilsynet: Overtredelsesgebyr til Elkjøp (vedtak) · Datatilsynet: Yango får gebyr på 100 millioner euro · Datatilsynet: Kundeklubber og personvern (veiledning) · Borgarting lagmannsrett opprettholder gebyr mot Grindr (Datatilsynet) · Nordialaw: Samtykke til kundeklubb – lærdom fra Elkjøp-gebyret · Selmer: Kundeklubber og personvern – Datatilsynets vedtak og veiledning

Datatilsynet ila Elkjøp 20 millioner kroner i gebyr for ulovlig kundeklubbdrift · AIGATO