En stor europeisk sportskedja hade sedan 2018 delat e-postadresser och telefonnummer från sitt lojalitetsprogram med ett socialt nätverk. Syftet var riktad reklam – kunderna fick annonser för kedjans produkter i sitt flöde. 10,5 miljoner människor berördes.
Det franske datatilsynet CNIL fant tre brudd. For det første manglet praksisen en gyldig behandlingsgrund — kunderna hade aldrig samtyckt till att deras data användes för annonsering på sociala medier. För det andra informerades kunderna inte om att data delades vidare. Anmälningsformuläret för lojalitetsprogrammet nämnde det inte. För det tredje placerades spårningskakor utan samtycke.
CNIL samarbetade med 16 europeiska datatillsynsmyndigheter i fallet och bötfällde kedjan med 3,5 miljoner euro.
Praktisk poeng
Laddar din marknadsavdelning upp kundlistor till Facebook, Instagram eller LinkedIn för att visa målinriktade annonser? Kontrollera två saker – har kunderna specifikt gett sitt samtycke till detta, och står det med i integritetspolicyn? Om svaret är nej på ett av dem, gör du samma sak som kostade den här kedjan 3,5 miljoner euro.
Inspirerad av: CNIL