En stor europeisk sportskjede hadde siden 2018 delt e-postadresser og telefonnumre fra lojalitetsprogrammet sitt med et sosialt nettverk. Formålet var målrettet reklame — kundene fikk annonser for kjedens produkter i feeden sin. 10,5 millioner mennesker var berørt.
Det franske datatilsynet CNIL fant tre brudd. For det første manglet praksisen et gyldig behandlingsgrunnlag — kundene hadde aldri samtykket til at dataene deres skulle brukes til annonsering på sosiale medier. For det andre ble kundene ikke informert om at dataene ble delt videre. Innmeldingsskjemaet for lojalitetsprogrammet nevnte det ikke. For det tredje ble det plassert sporingskapsler uten samtykke.
CNIL samarbeidet med 16 europeiske datatilsyn i saken og ga kjeden en bot på 3,5 millioner euro.
**Praktisk poeng:**
Laster markedsavdelingen din opp kundelister til Facebook, Instagram eller LinkedIn for å vise målrettede annonser? Sjekk to ting — har kundene samtykket spesifikt til dette, og står det i personvernerklæringen? Hvis svaret er nei på én av dem, gjør du det samme som kostet denne kjeden 3,5 millioner euro.
Inspirert av: CNIL