Datatilsynet har genomfört en granskning av Elkjøp Nordic AS och Elkjøp Norge AS behandling av kundinformation. Granskningen genomfördes i Elkjøp Nordics lokaler i Nydalen. Under granskningen har Datatilsynet tittat närmare på om Elkjøps behandling av personuppgifter ligger i linje med kraven i danska personuppgiftslagen och dataskyddsförordningen (GDPR).
Enligt Datatilsynet har myndigheten under en längre period tagit emot flera klagomål och avvikelserapporter relaterade till behandlingen av kunduppgifter i Elkjøp. Att genomföra inspektioner och kontroller är ett viktigt och effektivt arbetssätt för Datatilsynet att utreda det systematiska dataskyddsarbetet i ett företag. Det ger också den personuppgiftsansvarige möjligheten att stödja och visa upp det dataskyddsarbete som företaget har lagt ner.
Granskningen omfattade Elkjøps interna roller och ansvar för behandlingen av kundinformation mellan koncernföretag och franchisetagare i enlighet med reglerna för personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24, 26 och 28 GDPR). Datatilsynet har även tittat närmare på lagligheten av Elkjøps behandling av personuppgifter i kundklubbar och för marknadsföringsändamål (artikel 6 GDPR). Av särskild vikt var också frågan om Elkjøps organisatoriska åtgärder och rutiner för att säkerställa att den registrerade kan utöva sina rättigheter i enlighet med artiklarna 12-22 GDPR. Slutligen undersökte Datatilsynet Elkjøps praxis för säkerhet i samband med service och återförsäljning av smarta produkter som innehåller kundinformation (artikel 32 GDPR).
Granskningen har enligt Datatilsynet bland annat omfattat genomgång av dokument, stickprov av system samt intervjuer med ledning och andra medarbetare.