← На главную

Elgiganten оштрафован на 20 млн, Datatilsynet и IMY тоже нарушили GDPR

18.06.2026 18:31 · hackernews

Клиентский клуб сети «Эльгрос» — а точнее, ее скандинавского подразделения Elgiganten — обернулся для компании штрафом в 20 миллионов норвежских крон (чуть больше 1,8 миллиона евро). История началась в 2021 году, когда автор статьи попытался отписаться от маркетинговых писем. Выяснилось: единственный способ остановить рассылку — полностью расторгнуть членство в клубе. Никакого отдельного «отписаться от рекламы» не было.

Подробно объяснил регулятору, почему это незаконно. По статье 21(2) GDPR у каждого есть абсолютное право возражать против прямого маркетинга. А согласие (статьи 4(11) и 7 GDPR) должно быть свободным — его нельзя сделать условием получения других услуг. Заставлять человека отказываться от членства и его бонусов ради права, которое у него уже есть — классика несвободного согласия.

Компания письменно подтвердила нарушение: «чтобы получать маркетинг/предложения, нужно быть членом клиентского клуба». Автор подал формальное ограничение обработки (статья 18), полный запрос доступа (статья 15) и жалобу в шведский надзорный орган Integritetsskyddsmyndigheten (IMY). Компания сначала отмахивалась расплывчатой политикой, а потом растянула ответ на запрос до 90 дней, ссылаясь на сложность.

Шведский IMY в итоге передал дело норвежскому Datatilsynet — главный офис сети находится в Норвегии, и по принципу «единого окна» (статья 56(1) GDPR) регулятор определяется по основному месту нахождения контролера. Дело затихло на годы. И только 1 июня 2026 года Datatilsynet выписал штраф. Решение подтвердило всё, что автор говорил еще в 2021-м: согласие было принудительным и неконкретным, участников клуба не информировали должным образом. Кроме того, компания использовала собранные данные для рекламы и отслеживания конверсий, не проведя обязательную оценку совместимости по статье 6(4) GDPR.

Но это не конец истории. Автор узнал о решении не от регуляторов, а из GDPRhub — волонтерской вики. А ведь статья 77(2) GDPR прямо обязывает надзорный орган информировать заявителя о ходе и результате рассмотрения жалобы. Это не любезность, а закон. Ни IMY, ни Datatilsynet не сочли нужным сказать об этом человеку, который и запустил всё расследование.

Автор уже потребовал от IMY письменных объяснений и дал пять рабочих дней. Если ответ не устроит, будет подавать жалобу в Еврокомиссию о нарушении процедуры — она уже разбиралась с похожим случаем (Phorm и неспособность Великобритании внедрить правила конфиденциальности). Теперь на очереди еще и гражданский иск против Elkjop group — тем более что в процессе вскрылись новые детали незаконной обработки данных.

Читать оригинал →