Sau 5 năm nêu vấn đề về đồng ý bị ép buộc, Elkjop bị phạt 1,8 triệu euro

 (thatprivacyguy.com)
1 điểm bởi GN⁺ 7 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Câu lạc bộ khách hàng Nordic của tập đoàn Elkjop yêu cầu hủy tư cách thành viên nếu muốn tắt email tiếp thị, và một thành viên đã nêu vấn đề này vào năm 2021 là vi phạm GDPR và ePrivacy
  • Tranh điểm là liệu cấu trúc chỉ có thể từ chối tiếp thị trực tiếp khi phải từ bỏ quyền lợi của câu lạc bộ khách hàng có đáp ứng yêu cầu về sự đồng ý tự nguyện hay không
  • Cơ quan giám sát Thụy Điển IMY đã chuyển vụ việc sang thẩm quyền của công ty mẹ tại Na Uy, và Datatilsynet đã áp dụng mức phạt 20 triệu NOK vào ngày 1/6/2026, tương đương hơn một chút so với 1,8 triệu euro
  • Datatilsynet kết luận rằng sự đồng ý này mang tính ép buộc, không cụ thể, không được thông báo đầy đủ, và Elkjop còn tái sử dụng dữ liệu cá nhân đã thu thập cho quảng cáo và theo dõi chuyển đổi mà không thực hiện đánh giá tính tương thích theo GDPR Article 6(4)
  • Người khiếu nại cho biết do cơ quan giám sát không thông báo quyết định nên chỉ biết kết quả qua GDPRhub, đồng thời yêu cầu IMY giải thích và báo trước sẽ khởi động EU infringement procedure cũng như vụ kiện dân sự nhằm vào Elkjop

Cấu trúc khiến từ chối nhận tiếp thị đồng nghĩa rời câu lạc bộ

  • Vào mùa hè năm 2021, một thành viên Elgiganten Kundklubb đã tìm cách tắt email tiếp thị trong câu lạc bộ khách hàng mà tập đoàn Elkjop vận hành trên toàn khu vực Bắc Âu
  • Trên thực tế, cách làm này yêu cầu phải hủy chính tư cách thành viên câu lạc bộ khách hàng để ngừng tiếp thị
  • Ngày 30/7, thành viên này đã thông báo cho Data Protection Officer rằng cách làm đó vi phạm pháp luật
    • GDPR Article 21(2) trao cho mọi người quyền phản đối tuyệt đối đối với tiếp thị trực tiếp
    • Theo ePrivacy Directive, tiếp thị qua email chỉ hợp pháp khi có sự đồng ý hoặc có quan hệ khách hàng sẵn có, đồng thời phải cung cấp cơ chế opt-out đơn giản tại thời điểm thu thập thông tin và trong mọi thông điệp sau đó
    • Theo GDPR Article 4(11) và Article 7, sự đồng ý phải được đưa ra một cách tự nguyện, không bị gắn với điều kiện khác hoặc trở thành điều kiện bắt buộc
  • Lập luận ở đây là nếu phải từ bỏ quyền lợi của câu lạc bộ khách hàng mới có thể thực thi quyền vốn đã có, thì sự đồng ý đó không thể được xem là được đưa ra một cách tự nguyện

Phản hồi của Elkjop và việc nộp khiếu nại

  • Phía Elkjop trả lời theo hướng rằng “để nhận tiếp thị/ưu đãi thì điều kiện là phải là thành viên câu lạc bộ khách hàng”
  • Với thành viên này, điều đó đồng nghĩa cấu trúc biến việc thực thi quyền thành điều kiện gia nhập đã được lưu lại thành văn bản
  • Sau đó, thành viên đã tiến hành nhiều thủ tục
    • Chính thức yêu cầu hạn chế xử lý theo GDPR Article 18
    • Gửi yêu cầu truy cập dữ liệu đầy đủ của chủ thể dữ liệu theo Article 15
    • Phạm vi yêu cầu bao gồm căn cứ pháp lý, legitimate interest balancing test, bên nhận dữ liệu, bên xử lý phụ, chuyển dữ liệu quốc tế, profiling và các nội dung khác
    • Người này đã nộp khiếu nại lên cơ quan giám sát Thụy Điển Integritetsskyddsmyndigheten (IMY), với mã tham chiếu DI-2021-6660
  • Công ty viện dẫn một chính sách xử lý dữ liệu cá nhân mơ hồ, rồi sau đó kéo dài thời hạn phản hồi yêu cầu truy cập lên 90 ngày với lý do “phức tạp” và “nguồn lực nội bộ hạn chế”

Quá trình khiếu nại ở Thụy Điển dẫn tới khoản phạt tại Na Uy

  • Câu lạc bộ khách hàng do công ty mẹ tại Na Uy Elkjop Nordic AS vận hành, và cũng được xác định là công ty mẹ nắm quyền ra quyết định thực chất đối với mục đích và phương tiện xử lý
  • Tháng 9/2022, IMY kết luận mình không phải cơ quan có thẩm quyền phù hợp
  • Theo cơ chế one-stop-shop của GDPR Article 56(1), cơ quan giám sát tại quốc gia nơi controller có cơ sở kinh doanh chính sẽ có thẩm quyền
    • Cơ sở kinh doanh chính nằm ở Na Uy
    • IMY đã chuyển cuộc điều tra và đơn khiếu nại sang Datatilsynet, DPA của Na Uy
    • Datatilsynet đã tiếp nhận vụ việc
  • Sau đó vụ việc kéo dài trong thời gian dài mà gần như không có thêm thông tin gì

Quyết định năm 2026 của Datatilsynet

  • Ngày 1/6/2026, Datatilsynet đã phạt tập đoàn Elkjop 20 triệu NOK, tương đương hơn một chút so với 1,8 triệu euro
  • Trọng tâm của quyết định cũng chính là những nội dung đã được nêu trong đơn khiếu nại năm 2021
    • Sự đồng ý trong câu lạc bộ khách hàng là không hợp lệ
    • Sự đồng ý mang tính ép buộc
    • Sự đồng ý không cụ thể
    • Thành viên không được thông báo đầy đủ
  • Datatilsynet cho rằng Elkjop còn sử dụng thêm dữ liệu cá nhân thu thập qua câu lạc bộ khách hàng cho quảng cáo và theo dõi chuyển đổi
  • Một vấn đề khác là trước khi tái sử dụng dữ liệu cá nhân cho mục đích khác, Elkjop đã không thực hiện đánh giá tính tương thích theo yêu cầu của GDPR Article 6(4)
  • Quyết định viện dẫn Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4)
    • Tính hợp pháp, công bằng, minh bạch và trách nhiệm giải trình của toàn bộ cấu trúc đều được xem xét cùng nhau

Đồng ý bị ép buộc và vấn đề pay-or-consent

  • Đồng ý bị ép buộc, pay-or-consent, bundled consent, hay mô hình “không đồng ý tất cả thì không được dùng dịch vụ” đang được dùng gần như như cách mặc định trong nhiều phần của nền kinh tế số
  • Điểm cốt lõi là nếu khi người dùng từ chối mà họ bị mất đi thứ lẽ ra vẫn có quyền giữ, thì sự đồng ý đó không thể là sự đồng ý tự nguyện
  • Sau 5 năm và một khoản phạt 7 chữ số, lập luận này nay đã được ghi lại trong một quyết định công khai

Nghĩa vụ thông báo cho người khiếu nại và các bước tiếp theo

  • Người khiếu nại cho biết mình biết về quyết định này vào một sáng thứ Năm không phải từ IMY hay Datatilsynet, mà từ GDPRhub, một wiki do tình nguyện viên vận hành
  • GDPR Article 77(2) quy định rằng cơ quan giám sát phải thông báo cho người khiếu nại về tiến độ và kết quả của đơn khiếu nại
    • Đây không phải quyền tùy nghi hay thiện chí, mà là nghĩa vụ pháp lý
    • Vấn đề là đơn khiếu nại được nộp cho IMY, vụ việc do IMY chuyển đi kết thúc bằng một biện pháp thực thi trị giá hàng triệu euro, nhưng không cơ quan liên quan nào thông báo cho người khiếu nại
  • Người khiếu nại đã yêu cầu IMY giải thích bằng văn bản và đặt thời hạn trả lời là 5 ngày làm việc
  • Người này tuyên bố nếu câu trả lời đúng như dự đoán thì sẽ nêu vấn đề theo European Union infringement procedure
  • Khi thủ tục quản lý đã kết thúc, vẫn còn khả năng kiện dân sự đối với tập đoàn Elkjop, và người này cho rằng phạm vi vụ kiện có thể còn rộng hơn do các chi tiết về việc tiếp tục xử lý dữ liệu cá nhân trái phép
  • Nếu Elkjop chấp nhận vấn đề được nêu ra từ năm 2021, họ có thể đã tránh được khoản phạt, việc xử lý trái pháp luật, tổn hại thương hiệu và các vụ kiện tiếp theo

Bài viết liên quan

1 bình luận

 
GN⁺ 7 giờ trước
Ý kiến trên Hacker News

  • Thật mừng vì cuối cùng chuyện này cũng có kết quả tốt, và tôi mong càng nhiều người sống như vậy hơn khi thế giới ngày càng phản địa đàng hơn
    Đặc biệt ở Mỹ, chỉ riêng việc thực thi quyền của mình hoặc đọc hết mọi tài liệu cần ký cũng khiến bạn trở nên cực kỳ bất lợi so với những người im lặng vì không muốn làm phiền xung quanh hay gây ra rắc rối, hoặc cứ cho qua với kiểu “chắc không sao đâu”

    • Tôi từng đến một bệnh viện mới, và trong lúc làm thủ tục họ bảo tôi “ký” trên một miếng pad kỹ thuật số nhỏ để xử lý bảo hiểm cho đúng
      Tôi yêu cầu họ cho xem bản sao giấy của thứ mà tôi đang ký, nhưng họ không tìm ra, và vì lý do nào đó cũng không thể in ra, nên cuối cùng tôi đành bỏ cuộc, ký đại bằng ngón tay rồi vào khám, đúng là phát điên
    • Tôi từng thuê căn hộ ở Mỹ, và trong giấy tờ có đoạn nói chủ nhà có thể tạo video, ảnh và bản ghi âm giọng nói của tôi cùng gia đình tôi rồi dùng chúng cho mục đích của họ, bao gồm cả mục đích thương mại
      Tôi phản đối, nhưng thái độ của họ là không thể lôi cả đội pháp lý vào chỉ vì một mình tôi, còn nếu không thích thì tôi có thể đi chỗ khác
    • Tôi là kiểu người đọc từng dòng trong mọi hợp đồng mình ký, bao gồm cả điều khoản sử dụngchính sách quyền riêng tư
      Tôi thậm chí còn thấy hay khi nhận ra ai cảm thấy khó chịu vì chuyện đó. Vì điều đó cho tôi biết ai là người bắt tay nhưng không hề có ý định giữ lời
      Trải nghiệm này cũng làm thay đổi cách tôi viết những tài liệu kiểu đó, và điều khoản sử dụng cùng chính sách quyền riêng tư gần nhất tôi viết đều ngắn đến mức có thể đọc xong trong một hơi
    • Vợ tôi недавно sinh con, và khi đến bệnh viện thì khoảng cách giữa các cơn co đã ngắn đến mức đủ điều kiện nhập viện
      Thế mà bệnh viện vẫn đưa cho vợ tôi một bộ giấy đồng ý dài khoảng 10 trang để ký, thật khó tưởng tượng là sẽ có ai đọc nổi chúng
      Nhưng cũng khó tưởng tượng không kém chuyện họ sẽ từ chối cho nhập viện chỉ vì đống giấy đó
    • Đúng vậy. Ngay trong chính chủ đề này cũng có người nói kiểu “cấm vĩnh viễn khách hàng này” chỉ vì họ biết quyền của mình, điều đó đặc biệt chua chát
      Việc kiểu văn hóa này lại phổ biến rộng rãi ngay cả trong số những người Mỹ tự xem mình là yêu nước thật đáng xấu hổ
      Đất nước này được xây trên nền tảng nổi dậy và đòi hỏi quyền lợi, vậy mà bằng cách nào đó giờ đây điều ngược lại dường như lại trở thành lý tưởng với nhiều công dân

  • Toàn văn quyết định thực tế (tiếng Na Uy): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    Tóm tắt mà bài blog đề cập và bản dịch máy của mục 5.1 (kèm một phần nội dung khác): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    Sau đó tôi mới thấy còn có cả bản quyết định chính thức bằng tiếng Anh: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • Chỉ nhìn câu “phải là thành viên câu lạc bộ khách hàng thì mới nhận được marketing/ưu đãi” thì tôi thấy khá khó hiểu
    Nếu là “điều kiện để trở thành thành viên câu lạc bộ khách hàng là phải đồng ý nhận marketing/ưu đãi” thì lại là chuyện khác, nhưng câu bên trên nghe như thể muốn nói rằng để nhận marketing thì phải gia nhập câu lạc bộ
    Có vẻ như đã có gì đó bị đảo ngược trong quá trình dịch hoặc diễn đạt

    • Là vấn đề dịch thuật. Bản gốc tiếng Na Uy có nghĩa là muốn tham gia câu lạc bộ khách hàng thân thiết thì phải chấp nhận hoạt động marketing, nhưng bản dịch máy đã chuyển nguyên văn mà không biến nó thành cấu trúc tiếng Anh tự nhiên
    • Đúng vậy, nó nghe như bị đảo ngược, và có lẽ phải là “để trở thành thành viên câu lạc bộ khách hàng thì phải nhận marketing/ưu đãi”
    • Ở đây “marketing/ưu đãi” có vẻ là các chương trình giảm giá
      Đại ý là muốn nhận giảm giá hay chương trình đặc biệt thì phải là thành viên câu lạc bộ, mà đã là thành viên câu lạc bộ thì phải đồng ý nhận email, trong khi theo luật EU thì dù sao bạn cũng có quyền tiếp cận mọi chương trình giảm giá
    • Tôi cũng không hiểu. Việc tư cách thành viên là điều kiện để nhận được gì đó, theo cách tôi hiểu, chỉ có nghĩa là người không phải thành viên thì không thể hoặc không được nhận gì cả, chứ không có nghĩa thành viên bắt buộc phải nhận thứ gì đó
      Bản thân điều đó nghe hoàn toàn bình thường và hợp lý
    • Nghe như một lỗi dịch bắt nguồn từ các ngôn ngữ nhóm Đức
      Ví dụ kiểu cấu trúc như “việc nhận ưu đãi là... một điều kiện để được đăng ký”

  • 5 năm thì đúng là trò đùa. Dân chủ và pháp quyền dường như không còn tồn tại nữa
    Chính trị gia thì ngày càng giàu, chẳng ai chống lại họ, họ truyền chức vị cho người nhà, thuế cứ tăng trong khi dịch vụ cứ tệ đi
    Mặt khác, cũng khá thú vị khi được tận mắt chứng kiến sự phá hủy của châu Âu và nền dân chủ phương Tây ngay trong lúc nó diễn ra
    Có lẽ vào cuối thời Đế chế La Mã cũng đã có một đợt suy thoái đau đớn như vậy, và bây giờ dường như chúng ta đang nhìn thấy đoạn kết của đế chế châu Âu/Mỹ

  • Còn có vấn đề các công ty EU ép ứng viên đồng ý với chính sách phản quyền riêng tư trước cả buổi phỏng vấn. Trớ trêu là họ lại đặt tên nó là “chính sách quyền riêng tư”
    Trong chính sách đó ghi rằng công ty và bên thứ ba, thực chất là gần như bất kỳ ai, đều có quyền sử dụng dữ liệu bao gồm cả giọng nói và hình ảnh cho bất kỳ mục đích nào
    Tất nhiên họ viết theo kiểu hơi mơ hồ để người bình thường khó hiểu
    Tôi tự hỏi liệu đã từng có biện pháp tương tự nào được áp dụng cho trường hợp này chưa

    • Cá nhân tôi chưa gặp chuyện đó, nhưng bạn có thể gửi khiếu nại đến cơ quan bảo vệ dữ liệu cá nhân tại địa phương
      Khả năng cao những câu chữ như vậy khó đáp ứng được yêu cầu tuân thủ
      Để tối đa hiệu quả, bạn có thể gửi yêu cầu truy cập theo Điều 15 GDPR tới công ty đó để lấy danh sách những bên thực sự nhận dữ liệu, nhớ yêu cầu cụ thể mục đó, rồi tiếp tục gửi yêu cầu đến tất cả các công ty ấy
      Như vậy sẽ tạo thêm cơ sở cho khiếu nại tiếp theo. Ví dụ như vì sao họ không gửi thông tin theo Điều 14, hoặc liệu căn cứ pháp lý ban đầu có thực sự phù hợp hay không nếu đó là sự đồng ý nhưng không phải sự đồng ý được đưa ra một cách tự do
    • Gần đây tôi thấy một công ty EU dùng https://www.crosschq.com/ và thấy khá khó chịu

  • Tôi hiểu lập trường của người này, nhưng việc ông ấy tiếp tục kiện cả cơ quan pháp lý đã đưa ra phán quyết có lợi cho mình thì vẫn khá buồn cười

    • Tôi không hiểu ý đó. Có vẻ như ý là ông ấy định kiện công ty liên quan, và có thể cũng sẽ gửi khiếu nại lên cơ quan bảo vệ dữ liệu cá nhân của Thụy Điển.
      Nơi đã đưa ra phán quyết có lợi cho ông ấy là cơ quan bảo vệ dữ liệu cá nhân Na Uy
    • Nếu xem báo cáo của Datatilsynet, cơ quan bảo vệ dữ liệu cá nhân của Na Uy, thì phần bối cảnh có trích dẫn “nhiều đơn tố cáo và báo cáo”
      Có thể IMY đã cho rằng vụ việc này nằm ngoài thẩm quyền của mình nên chuyển khiếu nại sang Datatilsynet, rồi sau khi khép hồ sơ thì quên báo cho Hanff, hoặc cũng có thể họ không nhận được phản hồi nào từ Datatilsynet
    • Nếu ông ấy đã góp phần tác động đến việc ban hành GDPR, còn phần lớn công chúng nhìn chung cảm thấy bất lực, trong khi các cơ quan phụ trách cũng không làm việc tử tế, thì rốt cuộc có lẽ chỉ còn mình ông ấy là người tiếp tục truy cứu trách nhiệm

  • Trích nguyên văn: Câu trả lời tôi nhận được vài ngày sau đó thực chất chỉ đóng vai trò tử tế là để lại hồ sơ ghi nhận hành vi vi phạm. Theo lời họ, lập trường của họ là “muốn nhận marketing/offer thì phải là thành viên câu lạc bộ khách hàng.”
    Tôi không hiểu làm sao câu này lại có thể mang nghĩa “nếu là thành viên câu lạc bộ thì bắt buộc phải nhận marketing/offer”
    Với tôi, nó chỉ có nghĩa là “chỉ thành viên mới nhận được marketing/offer

  • Theo kinh nghiệm của tôi, Datatilsynet, cơ quan bảo vệ dữ liệu cá nhân Na Uy, luôn nhất quán đặt người dùng vào trọng tâm
    Thật tiếc là phải mất nhiều thời gian để đi hết quy trình của hệ thống, nhưng họ nhìn chung đưa ra quyết định tốt một cách khá nhất quán

  • Ảnh không tải lên ở phía tôi, tôi chỉ thấy prompt dùng để tạo ra nó, và thành thật mà nói thì như vậy còn tốt hơn

    • Bên tôi thì thấy cả ảnh lẫn prompt, nhưng toàn bộ trang không được áp dụng kiểu hiển thị.
      Tôi vừa tải lại thì CSS cũng đã được tải và prompt không còn hiện nữa.
      Có lẽ máy chủ web tạm thời bị quá tải lưu lượng nên với một số người truy cập thì ảnh không được trả về ổn định, còn với số khác thì các tệp CSS không được phục vụ ổn định
    • Có thể đó không phải prompt mà là mô tả trợ năng dành cho trình đọc màn hình chăng?
    • Họ đã chỉ dẫn cho mô hình tạo theo phong cách “wide-angle cinematic still”, nhưng kết quả lại nghiêng về tranh vẽ nên cũng hơi buồn cười

  • Việc Elkjøp thực sự bị phạt tiền là điều rất tuyệt và hoàn toàn xứng đáng, nhưng chuyện họ vẫn không tiếp tục thông báo cho người liên quan thì khá đáng ngạc nhiên

    • Người có trách nhiệm thông báo cho tôi không phải họ, mà là cơ quan quản lý Thụy Điển IMY