Den österrikiska dataskyddsmyndigheten Datenschutzbehörde (“DSB”) har bötfällt Unser Ö-Bonus Club GmbH med 2 miljoner euro för brott mot artiklarna 6, 7 och 12 i dataskyddsförordningen (“GDPR”).
Unser Ö-Bonus Club, som ägs av stormarknadskedjan Rewe Group, tillhandahåller ett kundlojalitetsprogram genom vilket man samlar in kunduppgifter och shoppingbeteende med syftet att skapa individuella profiler. Någon information om personuppgiftsbehandlingen, eller att personuppgifterna vidarebefordras till partnerföretag, lämnats inte av företaget.
Enligt GDPR ska registrerade informeras om behandlingen av deras personuppgifter, och informationen ska lämnas på ett lättillgängligt sätt och med användning av ett klart och tydligt språk. Unser Ö-Bonus Club hade instället utformat registreringen för kundlojalitetsprogrammet på ett sådant sätt att förtydligandet om profilering bara kunde hittas efter att den registrerade läst hela informationstexten. Samtycket till kundlojalitetsprogrammet placerades dock högre upp på sidan, varför företaget i samtliga fall hämtade in ett samtycke före detaljerna om kundlojalitetsprogrammet lämnats till den registrerade. Vidare framträdde signaturrutan längst ner på formuläret på de fysiska flygbladet som om det var en bekräftelse på anmälan till kundlojalitetsprogrammet, även om det egentligen också innefattade ett samtycke till profilering.
Enligt DSB har Unser Ö-Bonus Club åsidosatt företagets skyldigheter att i samband in inhämtande av ett samtycke informerade de registrerade i en begriplig och lättillgänglig form med med användning av klart och tydligt språk. Följaktligen ansåg DSB att samtliga inhämtade samtycken var ogiltiga och profileringen som utfördes på grundval av dessa var olaglig.