Setelah 5 Tahun Dipersoalkan soal Persetujuan Paksa, Elkjop Didenda €1,8 Juta

 (thatprivacyguy.com)
1 poin oleh GN⁺ 7 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Klub pelanggan Nordic milik grup Elkjop mewajibkan keluar dari keanggotaan untuk mematikan email pemasaran, dan seorang anggota pada 2021 mempersoalkan hal ini sebagai pelanggaran GDPR dan ePrivacy
  • Pokok persoalannya adalah apakah struktur yang membuat orang harus melepaskan manfaat klub pelanggan hanya untuk menolak pemasaran langsung memenuhi syarat persetujuan yang diberikan secara bebas
  • Otoritas pengawas Swedia IMY menyerahkan kasus ini ke yurisdiksi perusahaan induk di Norwegia, dan Datatilsynet pada 1 Juni 2026 menjatuhkan denda NOK 20 juta, sedikit di atas sekitar €1,8 juta
  • Datatilsynet menilai persetujuannya bersifat memaksa, tidak spesifik, dan tidak cukup diinformasikan, serta bahwa data pribadi yang dikumpulkan digunakan kembali untuk iklan dan pelacakan konversi tanpa melakukan penilaian kompatibilitas menurut GDPR Article 6(4)
  • Pengadu menyatakan mengetahui hasilnya dari GDPRhub karena otoritas pengawas tidak menyampaikan pemberitahuan keputusan, lalu meminta penjelasan kepada IMY dan mengisyaratkan prosedur pelanggaran Uni Eropa serta gugatan perdata terhadap Elkjop

Struktur ketika berhenti menerima pemasaran berarti keluar dari keanggotaan

  • Pada musim panas 2021, seorang anggota Elgiganten Kundklubb mencari cara untuk mematikan email pemasaran di klub pelanggan yang dijalankan grup Elkjop di seluruh Nordik
  • Dalam praktiknya, untuk menghentikan pemasaran ia harus membatalkan keanggotaan klub pelanggan itu sendiri
  • Pada 30 Juli, anggota tersebut memberi tahu Data Protection Officer bahwa cara ini melanggar hukum
    • GDPR Article 21(2) memberi setiap orang hak mutlak untuk menolak pemasaran langsung
    • Menurut ePrivacy Directive, pemasaran email hanya sah bila ada persetujuan atau ada hubungan pelanggan yang sudah ada, dan bila tersedia opt-out yang sederhana pada saat pengumpulan informasi serta di setiap pesan berikutnya
    • Menurut GDPR Article 4(11) dan Article 7, persetujuan harus diberikan secara bebas dan tidak boleh diikatkan pada syarat lain atau dijadikan syarat wajib
  • Logikanya, jika seseorang harus melepaskan manfaat klub pelanggan hanya untuk menjalankan hak yang sudah dimilikinya, maka persetujuan itu bukan persetujuan yang diberikan secara bebas

Tanggapan Elkjop dan pengajuan pengaduan

  • Pihak Elkjop menjawab dengan inti bahwa “untuk menerima pemasaran/penawaran, seseorang harus menjadi anggota klub pelanggan”
  • Dari sudut pandang anggota, ini berarti struktur yang menjadikan pelaksanaan hak sebagai syarat keanggotaan tercatat secara tertulis
  • Setelah itu anggota tersebut menempuh beberapa prosedur
    • Secara resmi meminta pembatasan pemrosesan berdasarkan GDPR Article 18
    • Mengirim permintaan akses subjek data secara penuh berdasarkan Article 15
    • Cakupan permintaan meliputi dasar hukum, legitimate interest balancing test, penerima, subprosesor, transfer internasional, dan profiling
    • Mengajukan pengaduan ke otoritas pengawas Swedia Integritetsskyddsmyndigheten (IMY), dengan nomor referensi DI-2021-6660
  • Perusahaan menunjuk pada kebijakan privasi yang ambigu, lalu memperpanjang tenggat permintaan akses menjadi 90 hari dengan alasan “kompleksitas” dan “sumber daya internal yang terbatas”

Bagaimana pengaduan di Swedia berujung pada denda di Norwegia

  • Klub pelanggan dioperasikan oleh perusahaan induk Norwegia Elkjop Nordic AS, dan dinilai bahwa kewenangan pengambilan keputusan substantif atas tujuan dan sarana pemrosesan juga berada pada perusahaan induk
  • Pada September 2022, IMY memutuskan bahwa dirinya bukan otoritas yurisdiksi yang tepat
  • Dalam mekanisme one-stop-shop GDPR Article 56(1), otoritas pengawas yang berwenang adalah otoritas di negara tempat kantor pusat utama controller berada
    • Kantor pusat utamanya berada di Norwegia
    • IMY menyerahkan penyelidikan dan pengaduan ke DPA Norwegia, yaitu Datatilsynet
    • Datatilsynet menerima kasus tersebut
  • Setelah itu, kasus ini berlanjut lama tanpa banyak kabar

Keputusan Datatilsynet pada 2026

  • Pada 1 Juni 2026, Datatilsynet menjatuhkan denda NOK 20 juta, sedikit di atas sekitar €1,8 juta, kepada grup Elkjop
  • Inti keputusan tersebut sama dengan hal-hal yang dipersoalkan dalam pengaduan 2021
    • Persetujuan klub pelanggan tidak sah
    • Persetujuannya bersifat memaksa
    • Persetujuannya tidak spesifik
    • Para anggota tidak mendapat informasi yang memadai
  • Datatilsynet menilai Elkjop juga menggunakan lebih lanjut data pribadi yang dikumpulkan melalui klub pelanggan untuk iklan dan pelacakan konversi
  • Masalah lainnya adalah tidak dilakukannya penilaian kompatibilitas yang diwajibkan GDPR Article 6(4) sebelum menggunakan kembali data pribadi untuk tujuan lain
  • Keputusan tersebut mencakup Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), dan 6(4)
    • Legalitas, keadilan, transparansi, dan akuntabilitas dari keseluruhan struktur dibahas bersama

Persetujuan paksa dan masalah pay-or-consent

  • Persetujuan paksa, pay-or-consent, persetujuan bundel, dan model “jika tidak menyetujui semuanya maka layanan tidak bisa digunakan” dipakai seolah menjadi cara baku di banyak bagian ekonomi digital
  • Intinya, jika ketika menolak pengguna kehilangan sesuatu yang semestinya tetap berhak ia pertahankan, maka persetujuan itu tidak dapat dianggap sebagai persetujuan yang diberikan secara bebas
  • Setelah 5 tahun dan denda tujuh digit, pokok masalah ini kini tercatat dalam keputusan yang dipublikasikan

Kewajiban pemberitahuan kepada pengadu dan tindak lanjut

  • Pengadu menyatakan bahwa ia mengetahui keputusan itu pada suatu Kamis pagi dari GDPRhub, wiki berbasis sukarelawan, bukan dari IMY atau Datatilsynet
  • GDPR Article 77(2) mengatur bahwa otoritas pengawas harus memberi tahu pengadu tentang perkembangan dan hasil pengaduannya
    • Ini bukan diskresi atau bentuk kebaikan, melainkan kewajiban hukum
    • Pengaduan diajukan ke IMY, dan kasus yang diteruskan IMY itu berakhir dengan penegakan bernilai jutaan euro, tetapi tidak satu pun otoritas terkait memberi tahu pengadu
  • Pengadu meminta penjelasan tertulis kepada IMY dan menetapkan tenggat jawaban 5 hari kerja
  • Ia menyatakan bahwa jika jawabannya sesuai dugaan, ia akan mengajukan persoalan ini melalui infringement procedure Uni Eropa
  • Karena prosedur regulasinya sudah selesai, gugatan perdata terhadap grup Elkjop juga masih tersisa, dan ia menyatakan cakupan gugatan bisa menjadi lebih luas karena rincian tambahan pemrosesan data pribadi yang melanggar hukum
  • Jika Elkjop menerima keberatan tersebut pada 2021, perusahaan itu bisa menghindari denda, pemrosesan yang melanggar hukum, kerusakan merek, dan gugatan lanjutan

Bacaan terkait

1 komentar

 
GN⁺ 7 jam lalu
Opini Hacker News

  • Syukurlah pada akhirnya kasus ini berakhir baik, dan makin distopia keadaan dunia, makin banyak orang yang semoga hidup seperti ini
    Khususnya di AS, hanya dengan menjalankan hak atau membaca semua dokumen yang harus ditandatangani saja, seseorang bisa berada pada posisi yang jauh lebih dirugikan dibanding orang yang diam saja atau melewatkannya dengan pikiran “yah, pasti tidak apa-apa”, karena tidak ingin membuat orang sekitar kesal terus-menerus atau menimbulkan keributan

    • Saat pergi ke rumah sakit baru, dalam proses pendaftaran mereka menyuruhku “menandatangani” di pad digital kecil agar asuransi bisa diproses dengan benar
      Ketika aku meminta diperlihatkan salinan kertas dari apa yang kutandatangani, mereka tidak bisa menemukannya, dan entah kenapa juga tidak bisa mencetaknya, jadi akhirnya aku menyerah, asal coret dengan jari untuk tanda tangan, lalu menerima perawatan; benar-benar bikin gila
    • Aku pernah menyewa apartemen di AS, dan di dokumennya tertulis bahwa pemilik boleh membuat rekaman video, foto, dan suara dari diriku dan keluargaku, lalu menggunakannya untuk tujuan mereka sendiri, termasuk tujuan komersial
      Aku menolak, tetapi sikap mereka seperti, demi satu orang sepertiku mereka tidak akan melibatkan tim legal, dan kalau tidak suka ya silakan pergi
    • Aku tipe orang yang membaca setiap baris kontrak yang kutandatangani, termasuk syarat penggunaan dan kebijakan privasi
      Justru aku senang jadi bisa tahu siapa yang merasa terganggu oleh itu. Karena itu menunjukkan siapa yang bersalaman tetapi sebenarnya tidak berniat menepati janji
      Pengalaman ini juga mengubah caraku menulis dokumen semacam itu, dan syarat penggunaan serta kebijakan privasi terakhir yang kutulis masing-masing kubuat cukup singkat untuk dibaca dalam sekali tarikan napas
    • Istriku baru saja melahirkan, dan saat kami tiba di rumah sakit, jarak kontraksinya sudah cukup dekat sehingga dia memang harus dirawat inap
      Tetapi rumah sakit tetap menyodorkan sekitar 10 halaman formulir persetujuan untuk ditandatangani, dan sulit membayangkan akan ada orang yang benar-benar membacanya
      Di sisi lain, juga sulit membayangkan mereka akan menolak rawat inap gara-gara dokumen itu
    • Betul. Bahkan di thread ini pun menyedihkan melihat ada orang yang berkata “pelanggan ini akan kublokir seumur hidup” hanya karena dia tahu haknya
      Bahwa budaya seperti ini begitu meluas bahkan di kalangan orang Amerika yang menganggap dirinya patriot sungguh memalukan
      Negara ini dibangun di atas pemberontakan dan penuntutan hak, tetapi entah bagaimana sekarang yang jadi cita-cita bagi banyak warganya justru kebalikannya

  • Keputusan resminya (bahasa Norwegia): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Ringkasan yang dibahas tulisan blog ini dan terjemahan mesin untuk bagian 5.1 (termasuk sebagian isi lain): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Belakangan aku sadar ternyata ada juga keputusan resmi dalam bahasa Inggris: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • Kalimat “untuk menerima pemasaran/penawaran, Anda harus menjadi anggota klub pelanggan” kalau dibaca begitu saja agak membingungkan
    Jika maksudnya “agar bisa menjadi anggota klub pelanggan, menerima pemasaran/penawaran adalah syaratnya”, itu persoalan yang berbeda, tetapi kalimat di atas justru terdengar seolah untuk menerima pemasaran seseorang harus bergabung ke klub dulu
    Rasanya ada sesuatu yang terbalik dalam proses terjemahan atau perumusannya

    • Ini masalah terjemahan. Teks asli bahasa Norwegia bermakna bahwa untuk bergabung ke klub loyalitas, seseorang harus menerima kegiatan pemasaran, tetapi terjemahan mesinnya memindahkannya secara harfiah tanpa mengubahnya menjadi struktur bahasa Inggris yang alami
    • Ya, terdengar seperti terbalik, dan sepertinya yang benar adalah “untuk menjadi anggota klub pelanggan, Anda harus menerima pemasaran/penawaran”
    • Di sini “pemasaran/penawaran” tampaknya berarti promo diskon
      Maksudnya mungkin, untuk mendapatkan diskon atau acara khusus Anda harus menjadi anggota klub, dan jika menjadi anggota klub Anda harus setuju menerima email, sementara menurut hukum Uni Eropa Anda tetap berhak mengakses semua diskon itu
    • Aku juga tidak paham. Jika keanggotaan adalah syarat untuk menerima sesuatu, menurut pemahamanku itu hanya berarti nonanggota tidak bisa atau tidak boleh menerima apa pun, bukan berarti anggota wajib menerima sesuatu
      Itu sendiri terdengar sepenuhnya normal dan masuk akal
    • Kedengarannya seperti kesalahan terjemahan dari bahasa rumpun Jermanik
      Misalnya struktur seperti “menerima penawaran adalah... syarat untuk tetap terdaftar”

  • Lima tahun? Ini benar-benar seperti lelucon. Demokrasi dan negara hukum rasanya sudah tidak ada lagi
    Politisi makin kaya, tak ada yang melawan, jabatan diwariskan ke keluarga, pajak terus naik sementara layanan terus memburuk
    Di sisi lain, menarik juga bisa menyaksikan langsung kehancuran Eropa dan demokrasi Barat yang sedang berlangsung
    Mungkin seperti inilah penurunan menyakitkan yang terjadi di akhir Kekaisaran Romawi, dan sekarang kita sedang melihat akhir kekaisaran Eropa/AS

  • Ada juga masalah perusahaan-perusahaan UE yang memaksa kandidat menyetujui kebijakan anti-privasi sebelum wawancara. Lucunya, namanya justru diberi label “kebijakan privasi”
    Di kebijakan itu tertulis bahwa perusahaan dan pihak ketiga—praktis siapa saja—diberi hak menggunakan data, termasuk suara dan gambar, untuk tujuan apa pun
    Tentu saja ditulis dengan ungkapan yang agak samar agar sulit dipahami orang biasa
    Aku penasaran apakah pernah ada tindakan serupa untuk kasus seperti ini

    • Secara pribadi aku belum pernah mengalaminya, tetapi Anda bisa mengajukan pengaduan ke otoritas perlindungan data setempat
      Frasa seperti itu kemungkinan besar sulit memenuhi persyaratan kepatuhan
      Untuk memaksimalkan dampaknya, ajukan permintaan akses Pasal 15 GDPR ke perusahaan tersebut untuk mendapatkan daftar penerima data yang sebenarnya, pastikan Anda secara spesifik meminta item itu, lalu kirim permintaan yang sama ke semua perusahaan tersebut
      Dengan begitu akan muncul ruang untuk pengaduan tambahan. Misalnya, mengapa mereka tidak mengirim informasi Pasal 14, atau apakah dasar hukum awalnya memang persetujuan, dan jika persetujuan itu tidak diberikan secara bebas, apakah dasar hukum itu benar-benar tepat
    • Baru-baru ini aku agak terganggu melihat ada perusahaan UE yang menggunakan https://www.crosschq.com/

  • Saya paham posisi orang ini, tapi tetap lucu bahwa dia kembali menggugat lembaga hukum yang mengambil keputusan yang menguntungkannya

    • Saya tidak paham maksudnya. Kedengarannya dia berencana menggugat perusahaan yang bermasalah itu, dan mungkin juga mengajukan keluhan terhadap otoritas perlindungan data Swedia.
      Pihak yang memutuskan kasus ini menguntungkannya adalah otoritas perlindungan data Norwegia
    • Jika melihat laporan Datatilsynet, otoritas perlindungan data Norwegia, latar belakangnya mengutip “beberapa laporan dan pengaduan”.
      Mungkin IMY menilai perkara ini berada di luar kewenangannya lalu meneruskan pengaduannya ke Datatilsynet, dan setelah menutup kasus lupa memberi tahu Hanff, atau mungkin tidak pernah menerima tanggapan apa pun dari Datatilsynet
    • Jika dia memang berpengaruh pada penyusunan GDPR, sementara publik lainnya secara umum merasa tidak berdaya, dan lembaga yang bertanggung jawab juga tidak bekerja dengan semestinya, mungkin pada akhirnya hanya dia yang akan terus meminta pertanggungjawaban

  • Kutipan asli: Balasan yang saya terima beberapa hari kemudian dengan ramah berfungsi meninggalkan catatan atas pelanggaran tersebut. Posisi mereka, dengan kata-kata mereka sendiri, adalah “untuk menerima pemasaran/penawaran, Anda harus menjadi anggota klub pelanggan”.
    Saya tidak mengerti bagaimana ini bisa berarti “jika Anda anggota klub, Anda wajib menerima pemasaran/penawaran”.
    Bagi saya ini hanya berarti “hanya anggota yang menerima pemasaran/penawaran

  • Berdasarkan pengalaman saya, Datatilsynet, otoritas perlindungan data Norwegia, secara konsisten mempertimbangkan kepentingan pengguna.
    Memang disayangkan butuh waktu lama untuk melewati sistemnya, tetapi mereka cenderung membuat keputusan yang konsisten dan bagus

  • Gambarnya tidak dimuat bagi saya, dan yang terlihat hanya prompt yang digunakan untuk membuatnya, tapi sejujurnya itu malah lebih baik

    • Di sisi saya, gambar dan prompt-nya terlihat, tetapi styling tidak diterapkan ke seluruh halaman.
      Baru saja saya refresh dan CSS juga sudah dimuat, sementara prompt-nya tidak lagi terlihat.
      Mungkin server web-nya sempat kewalahan oleh trafik, sehingga untuk sebagian pengunjung yang termuat konsisten adalah gambar, dan untuk yang lain file CSS
    • Bukankah itu mungkin bukan prompt, melainkan deskripsi aksesibilitas untuk pembaca layar?
    • Modelnya diarahkan untuk membuatnya dengan gaya “wide-angle cinematic still”, tapi hasilnya malah terasa lebih ke ilustrasi, jadi agak lucu

  • Fakta bahwa Elkjøp benar-benar didenda itu sangat bagus dan memang semestinya begitu, tetapi cukup mengejutkan bahwa mereka terus tidak memberi tahu pihak yang bersangkutan

    • Yang bertanggung jawab memberi tahu saya bukan mereka, melainkan regulator Swedia IMY