Alvorlig kritik: Datatilsynet langer ud efter Matas' gigantiske kundeklub

Illustration: Datatilsynet
Matas har ikke indhentet ordentligt samtykke til at behandle data om sine mere end en million medlemmer i loyalitetsprogrammet Club Matas. Det udløser alvorlig kritik fra Datattilsynet.

Matas har ikke indhentet ordentlig samtykke fra sine brugere i loyalitetsprogrammet Club Matas, og det udløser nu alvorlig kritik fra Datatilsyet.

Tilsynet annoncerede sit besøg hos Matas allerede i 2018, og kernen i tilsynets kritik går på, at Matas-kunderne ikke har fået mulighed for at tage stilling til, hvad Matas må og ikke må bruge deres data til.

»Et samtykke kan endvidere ikke anses for frivilligt, hvis proceduren til opnåelse af samtykke ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsformål vedrørende personoplysninger og dermed tvinges til at samtykke til samtlige formål. Et samtykke skal derfor granuleres,« hedder det i Datatilsynets afgørelse.

»Uanset at Matas forretningsmæssige sigte med Club Matas overordnet er markedsføring, er det Datatilsynets opfattelse, at Matas i databeskyttelsesretlig sammenhæng behandler medlemmernes personoplysninger til flere og andre formål end dette ene formål.«

»Det er på baggrund af det ovenstående Datatilsynets vurdering, at Matas’ samtykkeløsning ikke sikrer et tilstrækkeligt frivilligt, specifik eller informeret samtykke.«

Du kan finde hele afgørelsen hos Datatilsynet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Hvorfor udstikker Datatilsynet ikke bare en bøde med det samme? Er det fordi de har tillid til at klienten retter op på problemet? Hvis det er tilfældet kan en dataansvarlig så også have en tillidsbaseret tilgang i forhold til GDPR fx. Vi har tillid til at vores leverandør og deres underleverandører har styr på sikkerheden og hvordan persondata skal behandles, derfor gør vi ikke mere (før end at Datatilsynet irettesætter os)

  • 5
  • 4
#3 Martin Dahl

Vi vil allesammen gerne at vores persondata behandles ordentligt og efter regelerne, og at datatilsynet holder øje med og stikprøvekontrollerer at dette er tilfældet.

Men læs lige den originale samtykke tekst.

1) Man siger ja til at blive medlem og at man dermed kan blive kontaktet på forskellige kanaler ifb. med markedsføring. Det er hele pointen med et klubmedlemsskab i en butik, må det formodes.

2) Man kan tilbagetrække sit samtykke.

3) Det angives hvilke personoplysninger der behandles.

4) Man er endda flink at tillade sig at kontakte kunden om opdatering af samtykke såfremt det hænder.

Alt i alt en fair forklaring og samtykketekst, som egentlig bare skulle udelade "Beacons" fordi de er sammenfaldende med Cookies.

Der uddeles en ALVORLIG KRITIK fordi samtykket ikke opdeles i bitte små checkboxe ift. hvad man siger ja til.

Men hele det samlede formål med en medlemsklub er da for pokker markedsføring af de relevante produkter. Og det er hvad de data behandles for.

Kritikken uddeles, fordi at man tilsyneladende IKKE kan undlade de specifikke checkboxes, som ens redigering af profil efterfølgende giver anledning til.

Så fordi at Matas giver kunden mulighed for selv efterfølgende specifikt at fjerne f.eks. facebook som kanal, så straffes de fordi at samtykket ved tilmedling ikke giver denne granulære mulighed.

Uanset at Matas forretningsmæssige sigte med Club Matas overordnet er markedsføring, er det Datatilsynets opfattelse, at Matas i databeskyttelsesretlig sammenhæng behandler medlemmernes personoplysninger til flere og andre formål end dette ene formål.

Matas forklarer pænt at hele klubben falder under een samlet "Markedsføring af egne produkter", men det har datatilsynet afvist. De forklarer dog ikke, hvad flere og andre formål er.

Nå ja, og så fordi at man ikke uddyber hvem Matas-koncernen er. Uha uha uha.

Hvis samtykket tydeligvis var et komposit af urelaterede funktionaliteter, så var det en overtrædelse. F.eks. hvis man afgav samtykke til videresalg af informationer eller at man samtidig sagde ja til reklamer ind ad postkassen fra andre virksomheder.

Det her er således rigtig ærgeligt for både forbrugere og digitale platforme, som ellers gerne ville lege sammen.

  • 9
  • 8
#5 Rune Hansen

Inden folk lugter for meget blod her. Dette er endnu en skinmanøvre, som i sagen med ide møbler. For at vise handlekraft farer Datatilsynet i kødet på et par virksomheder, for ikke at lever 100% op til GDPR og blæser det op som store og væsentlige sager. Så kan man aflede opmærksomheden fra de katastrofale brud der ligger spredt ud i hele den offentlige sektor lidt endnu. Og når dagen kommer og man begynder at få påtaler fra EU, har man jo så disse nyhedsbrevs eksempler til at danne præcedens (for eks. videregivelse af folkesundheds data som DNA mm. til Kina og USA, uden samtygge.)

  • 7
  • 2
#6 Claus Bobjerg Juul

Dette er endnu en skinmanøvre..... for ikke at lever 100% op til GDPR og blæser det op som store og væsentlige sager. Så kan man aflede opmærksomheden fra de katastrofale brud der ligger spredt ud i hele den offentlige sektor lidt endnu.

Proceskæden om behandling af persondata starter med hjemmel, hvilket samtykke er. Hvis kæden springer af her, så er alt andet ligemeget, så jeg ser helt ærligt ikke at det er at blæse sagerne op.

Jeg er dog helt enig i at Datatilsynet kunne ligge flere kræfter i opgaven med at kontrollere de offentlige.

  • 3
  • 1
#7 Louise Klint

Jeg mener også, at Datatilsynet har fat i den lange ende.

De er bare ikke så gode til at formidle det, så det bliver forståeligt for en bredere kreds. Man skal læse hele den lange afgørelse (og tygge grundigt på den), før det giver mening.

Det er en skam. For det betyder, at deres gode sag og store arbejde, har meget ringe gennemslagskraft. Til trods for den brede appel og relevans. Simpelthen fordi de ikke kan gøre sig forståelige. (– Så er det sagt).

Vi så det også forleden:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/apr/ny-af...-

https://politiken.dk/indland/art8192420/Datatilsynet-udtrykker-h%C3%A5rd... https://www.dr.dk/nyheder/indland/datatilsynet-retter-haard-kritik-mod-s... https://www.version2.dk/artikel/alvorlig-kritik-ssi-datatilsynet-behandl...

Ingen (ud over V2’s it-specialister) fatter, hvad det drejer sig om.

Det er udelukkende et spørgsmål om formidling.

Send flere penge til ordentlig kommunikation. Det er ikke tilstrækkeligt med ham her! https://www.datatilsynet.dk/presse-og-nyheder

  • 3
  • 0
#8 Martin Dahl

Det er det for Matas, jeg er måske bare medlem for at få rabat en enkelt gang i ny og næ.

Der er så mange ting, vi allesammen godt kunne tænke os.

Matas har tilbudt kunderne mulighed for rabatter mod at man må markedsføre egne produkter målrettet, baseret på hvad man køber og browser i deres butik.

Og det medgiver datatilsynet er helt i orden, selvom de formulerer det unødigt kryptisk:

Den omstændighed, at den registrerede eventuelt kan opnå en fordel ved at tilmelde sig Club Matas, indebærer efter Datatilsynets opfattelse ikke i sig selv, at samtykket ikke kan anses for frivilligt.

Hvis man vil have noget andet end det klubmedlemsskab, der bliver tilbudt, så er man jo ikke tvunget til at melde sig ind.

  • 8
  • 0
#10 Martin Dahl

Der er en lov som skal overholdes

Og det skal den naturligvis.

Spørgsmålet er her om Datatilsynet fortolker dette korrekt, når de kræver samtykket skal detaljeres, eller om de er galt i byen, fordi at pakken er eet stort direkte markedsførings-samtykke.

Og jeg vil mene, at hvis Matas ikke laver svinkeærinder med persondata og tredieparter, og rent faktisk kun og alene kommunikerer deres tilbud og produkter på de aftalte kanaler, så har Datatilsynet unødigt kompliceret hvad et samtykke skal bestå af.

De skriver:

..flere og andre formål end dette ene formål

Og indtil Datatilsynet forklarer præcis hvilke andre formål end direkte markedsføring af de aftalte produkter, på de aftalte kanaler, fra de aftalte parter, -så står det hen i det uvisse, hvad det er de mener at have fundet.

Og så er der jo den mulige konsekvens, hvis Datatilsynes fortolkning er korrekt, at man rent faktisk kan kræve en pony, og at den slags klubber derfor ikke længere er rentable. Således forsvinder det win-win, der ellers er etableret mellem forbruger og virksomhed. Også selvom virksomheden alene behandlede de aftalte data til at promovere deres produkter.

  • 4
  • 0
#11 Claus Bobjerg Juul

markedsføring af de aftalte produkter, på de aftalte kanaler, fra de aftalte parter, -så står det hen i det uvisse

Jeg tror at hvis Matas tegnede et data flow diagram over hvordan de behandler data, så vil de hurtigt kunne finde svaret til hvor mange afkrydsningsbokse der skal være.

Det tager dog noget tid at beskrive/tegne data flow diagrammet.

Jeg forestiller mig at de gerne vil kunne give kunden en generel rabat eller optjene point, de vil gerne kunne sende nyhedsmails til kunden, de vil måske også give data til samarbejdsparter, som også vil sende mails osv. osv.

  • 1
  • 2
#12 Louise Klint

Det er lidt tricky, fordi sagen, i sit udgangspunkt, synes at have været langt mere omfattende, end den er nu. Fordi sagen, fra starten, i 2018, også omfattede Club Matas’ 25 partnere.

Se et par af dem her: https://kundeservice.matas.dk/hc/da/articles/360012627237-Partnerprogram...

Indtil august sidste år havde Club Matas tilknyttet 25 eksterne samarbejdspartnere, der ikke havde noget med kerneforretningen (salg af skønhedsprodukter) at gøre. Kunden fik fx. x % rabat ved køb hos partnerne og opsparede samtidig point til at omsætte til rabat på produkter i Matas.

Partnerne blev løbende udskiftet, og ud over de hoteller og rejsebureauer (Apollo) samt benzinselskabet Shell, der er nævnt ovenfor ^^, viser en hurtig søgning, Club Matas partnere så som:

Plaza Ure og Smykker, GrowingFeet (børnesko), saxo.com (bøger), NS Media (biograffilm og forpremierer samt hjemmebio), EnergiNord (elselskab), Zenji Mobile (mobilabonnementer), GF Forsikring (forsikringsselskab), Alka Forsikring, G4S (alarmer og sikringssystemer til hjemmet), MenuCard (restaurantbooking-app), Sportigan (sportstøj), One2Move (biludlejning), mv.

Mao. varer og services, der bredt dækker tilværelsens fornødenheder. Dvs. en relativt omfattende tracking / profilering af kunderne. Det er ikke sikkert, at den nye kunde lige kan greje det, når hun tilmelder sig.

Partnerprogrammet er udfaset august 2020, så vi kommer ikke længere ad den vej. (Til gengæld har de lavet Club Matas Plus, som koster et fast månedsabonnement (29 kr.) og skal få kunderne til at bruge endnu flere penge in-house https://www.matas.dk/plus ). ”Mors dag venter lige om hjørnet.”

Den spidsfindige sætning:

”Club Matas må bruge mit samtykke til at orientere mig og spørge, om jeg ønsker at opdatere mit samtykke mht. samarbejdspartnere, produkter eller kontaktformer.”

https://www.datatilsynet.dk/Media/637557956864246826/matas.png

Dette er givet, fordi nye produkter og partnere løbende skal kunne tilføjes. Men dette er også, for mig at se, et carte blanche.

Det underkender ikke alene den forudgående mulighed: ”På min Club Matas profil kan jeg fravælge en eller flere af kontaktformerne.” Det betyder, for mig at se, også, at uanset hvad/hvilke kontaktformer eller produkter kunden fravælger, så behøver Matas ikke at respektere det.

Det er skruen uden ende. Jeg forstår ikke, hvordan det kan være lovligt. Ikke dataretligt, men i forbrugersammenhæng (Markedsføringsloven)?!

  • 6
  • 1
#13 Martin Dahl

Men dette er også, for mig at se, et carte blanche.

For så vidt må og skal alle tjenester indhente et opdateret samtykke, hvis man beslutter sig for, at vilkår ændres.

At betragte det som et carte blanche, er ude af propertioner.

Der er intet i vejen for at en kundeklub indleder et samarbejde med en trediepart hvor data udveksles, såfremt kunderne afgiver et samtykke. Og dette samtykke skal man selvfølgelig bede kunden tage stilling til.

For hver gang samtykket opdateres, f.eks. hvis nye tredieparter introduceres, så opstår der internt en nødvendig granulær behandling af eksisterende data. Og derfor er det i virksomhedens interesse, at opdatere samtykket så sjældent som muligt. Og desuden fordi det er en kommunikation, hvor kunder afmelder sig, når de bliver trætte af samtykkeopdateringer.

Dertil hører at man ikke kan benytte et boolsk "eller" med sin samtykkeopdatering, som du måske antyder med "carte blanche". Selvfølgelig må virksomheden ikke sende en samtykke opdatering, der samtidig er markedsføringsindhold, som overskrider det gældende samtykke.

GDPR angår på ingen måde, at virksomheder ikke må lave samarbejder hvor kundedata udveksles. Når blot kunden samtykker.

Hvis man personligt bliver stødt over en mail, hvor ens kundeklub beder en tage stilling til, at acceptere nye samarbejdspartnere, så er der intet ulovligt hændt.

Man er ganske fri til at opsige til medlemsskab = tilbagetrække alle samtykker, hvis ikke man kan lide lugten i bageriet.

Det vender tilbage til en helt almindelig stillingtagen til et fordelsmedlemsskab. Vil jeg acceptere at mine persondata behandles og deles med de angivne parter, mod at jeg får en række fordele?

De fleste medlemmer er helt lige glade med, om deres shoppingmønster benyttes til direkte markedsføring, når blot man kan spare penge på gode tilbud.

Og ønsker man ikke at ens persondata behandles til en sådan markedsføring og deling med tredieparter, så undlader man selvfølgelig at tilmelde sig en sådan klub.

Og i mellem de to positioner befinder der sig et ganske særligt segment. Det er dem, som kræver rabatordninger, uden at virksomheden må anvende persondata markedsføring.

  • 3
  • 0
#14 Louise Klint

Så får man læst og påtalt.

Selvfølgelig må virksomheden ikke sende en samtykke opdatering, der samtidig er markedsføringsindhold, som overskrider det gældende samtykke.

Men det er jo godt, hvis det er, som du siger.

  • 0
  • 1
#15 Gert Madsen

Og derfor er det i virksomhedens interesse, at opdatere samtykket så sjældent som muligt. Og desuden fordi det er en kommunikation, hvor kunder afmelder sig, når de bliver trætte af samtykkeopdateringer.

Nu handler både GPDR og markedsføringsskik om beskyttelse af forbrugerne.

Og personligt mener jeg at netop udveksling af data med 3. parter er problematisk, og ikke bare her.

Feks. kan jeg ikke se at de informationer jeg har overladt banken også kan bruges af deres "tilknyttede" ejendomsmægler.

Sagt på en anden måde: Det bør være sådan at man kan overlade sine data til det direkte åbenlyse formål, uden disse data dermed bliver en direkte eller indirekte handelsvare.

  • 3
  • 1
#16 Martin Dahl

Og personligt mener jeg at netop udveksling af data med 3. parter er problematisk

Det er kun og alene problematisk, hvis det foretages uden samtykke.

Selvfølgelig må data udveksles med 3. part, hvis man har givet samtykke.

Det problematiske er, at samtykket gives til et formål, og at formålet ikke må være unødigt sammensat.

Så man kan f.eks. ikke dele data fra et apotek til forsikringsselskaber, der vil benytte persondata til screening af nye kunder. Medmindre apotekerne skriver i deres samtykkeerklæring tydeligt, at ens personoplysninger vil blive delt med forsikringsbranchen med henblik på screening af kunder. Og at dette samtykke er adskilt fra øvrige samtykker.

Fordi der er ingen rimelig grund til at ens erinde på apoteket er knyttet til datadeling med forsikringsselskaber.

En kundeklub derimod, hvor konceptet er rabatter fra navngivne samarbejdspartnere, og formålet er databehandling med direkte markedsføring for øje. Der vil det være ganske grotesk, at kræve at klubben granulerer sit samtykke.

Feks. kan jeg ikke se at de informationer jeg har overladt banken også kan bruges af deres "tilknyttede" ejendomsmægler.

Hvis ikke der er et særskilt samtykke til, at din bank automatisk deler dine info med en ekstern ejendomsmægler, så vil jeg mene at Datatilsynet skal tage et kig på din bank.

  • 0
  • 1
Log ind eller Opret konto for at kommentere