強制同意の問題提起から5年後、Elkjopに180万ユーロの罰金
(thatprivacyguy.com)- ElkjopグループのNordic顧客クラブでは、マーケティングメールを停止するために会員退会が必要であり、ある会員が2021年にこれをGDPR・ePrivacy違反として問題提起した
- 争点は、顧客クラブの特典を放棄しなければダイレクトマーケティングを拒否できない仕組みが、自由に与えられた同意の要件を満たすかどうかだった
- スウェーデンの監督機関IMYは事件をノルウェーの親会社の管轄に移し、Datatilsynetは2026年6月1日に2,000万ノルウェークローネ、約180万ユーロ強の罰金を科した
- Datatilsynetは、同意が強制的で具体性を欠き、十分な告知もなく、収集した個人データを広告とコンバージョントラッキングに再利用しながら、GDPR Article 6(4)の適合性評価も行っていなかったと判断した
- 申立人は、監督機関から決定通知がなくGDPRhubで結果を知ったとして、IMYに説明を求め、EUのinfringement procedureとElkjopに対する民事訴訟を予告した
マーケティング受信拒否が会員退会につながる仕組み
- 2021年夏、あるElgiganten Kundklubb会員は、ElkjopグループがNordics全域で運営する顧客クラブでマーケティングメールを停止する方法を探した
- 実際には、マーケティング停止のために顧客クラブの会員資格そのものを取り消さなければならない方式だった
- 会員は7月30日、Data Protection Officerに対してこの方式が法令違反だと知らせた
- GDPR Article 21(2)は、すべての人にダイレクトマーケティングに対する絶対的な異議権を与えている
- ePrivacy Directive上、メールマーケティングは同意があるか既存の顧客関係があり、情報収集時点とその後のすべてのメッセージで簡単なオプトアウトを提供している場合にのみ適法となる
- GDPR Article 4(11)とArticle 7によれば、同意は自由に与えられなければならず、他の条件に結び付けられたり必須条件になったりしてはならない
- 顧客クラブの特典を放棄しなければ、もともと持っている権利を行使できないのであれば、その同意は自由に与えられた同意ではないという論理だ
Elkjopの回答と申立て
- Elkjop側は、「マーケティング/オファーを受け取るには顧客クラブ会員であることが条件」という趣旨で回答した
- 会員の立場からすると、権利行使を加入条件へと変えた構造が文書として残ったことになる
- その後、会員はいくつかの手続きを進めた
- GDPR Article 18に基づく処理制限を正式に要請した
- Article 15に基づく全面的なデータ主体アクセス要求を送った
- 要求範囲には、法的根拠、legitimate interest balancing test、受領者、再委託先、国際移転、プロファイリングなどが含まれていた
- スウェーデンの監督機関Integritetsskyddsmyndigheten(IMY)に申立てを行い、参照番号はDI-2021-6660だった
- 会社は曖昧な個人情報処理方針を示し、その後アクセス要求の期限を90日に延長し、「複雑性」と「限られた内部リソース」を理由に挙げた
スウェーデンでの申立てがノルウェーでの罰金につながるまで
- 顧客クラブはノルウェーの親会社Elkjop Nordic ASが運営しており、処理目的と手段に関する実質的な意思決定権も親会社にあると判断された
- IMYは2022年9月、自らが適切な管轄機関ではないと判断した
- GDPR Article 56(1)のワンストップショップ制度では、コントローラーの主要事業所がある国の監督機関が管轄する
- 主要事業所はノルウェーにある
- IMYは調査と申立てをノルウェーのDPAであるDatatilsynetに移送した
- Datatilsynetはこの案件を受理した
- その後、事件は長い間ほとんど動きのないまま続いた
Datatilsynetの2026年決定
- 2026年6月1日、DatatilsynetはElkjopグループに2,000万ノルウェークローネ、約180万ユーロ強の罰金を科した
- 決定の核心は、2021年の申立てで提起された内容と同じだった
- 顧客クラブの同意は有効ではなかった
- 同意は強制的だった
- 同意は具体的ではなかった
- 会員は十分な告知を受けていなかった
- Datatilsynetは、Elkjopが顧客クラブを通じて収集した個人データを、広告とコンバージョントラッキングに追加利用したとみている
- 個人データを別目的に再利用する前に、GDPR Article 6(4)が求める適合性評価を行っていなかった点も問題とされた
- 決定はArticle 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4)を含む
- 全体構造の適法性、公正性、透明性、説明責任があわせて扱われた
強制同意とpay-or-consent問題
- 強制同意、pay-or-consent、抱き合わせ同意、「すべてに同意しなければサービスを利用できない」モデルは、デジタル経済の多くの場面で事実上の標準のように使われている
- ユーザーが拒否したとき、本来維持できるはずのものを失うのであれば、その同意は自由に与えられた同意にはなり得ないという点が核心だ
- 5年と7桁の罰金を経て、この論点は公開された決定として残ることになった
申立人への通知義務と今後の対応
- 申立人は、IMYでもDatatilsynetでもなく、ボランティア運営のWikiであるGDPRhubである木曜の朝に決定を知ったと明かした
- GDPR Article 77(2)は、監督機関が申立人に対して申立ての進捗状況と結果を知らせなければならないと定めている
- これは裁量や好意ではなく、法的義務である
- 申立てはIMYに行われ、IMYが移送した案件は数百万ユーロ規模の執行で終わったにもかかわらず、関係機関の誰も申立人に知らせなかったという問題である
- 申立人はIMYに書面で説明を求め、回答期限を5営業日に設定した
- 回答が予想どおりの水準であれば、European Unionのinfringement procedureに従って問題提起すると述べた
- 規制手続きが終わった以上、Elkjopグループを相手取る民事訴訟も残っており、個人データの追加的な違法処理の詳細により訴訟範囲はさらに広がる可能性があると述べた
- Elkjopが2021年の問題提起を受け入れていれば、罰金、違法処理、ブランド毀損、後続訴訟を避けられたはずだった
1件のコメント
Hacker Newsのコメント
この件が最終的にうまく決着してよかったし、ディストピアが深まるほど、こういうふうに生きる人がもっと増えてほしいと思う。
特にアメリカでは、権利を行使したり署名すべき書類を全部読んだりするだけで、なぜか周囲をずっといら立たせる妙な人間にされてしまい、波風を立てたくなくて何も言わない人や「まあ大丈夫だろう」と流す人たちよりかなり不利になる。
自分が何に署名するのか紙のコピーを見せてほしいと頼んだが見つからず、なぜか印刷もできないと言われたので、結局あきらめて指で適当に署名して診察を受けた。本当にうんざりする。
反対したが、私ひとりのために法務部を巻き込むことはできないし、嫌なら出ていってもいい、という態度だった。
誰がそれを不快に思うのかわかるのがむしろ良い。握手はしても約束を守る気のない人が誰なのか教えてくれるからだ。
この経験は、私自身がこうした文書を書くやり方も変えた。最後に書いた利用規約とプライバシーポリシーは、どちらも一息で読めるくらい短くした。
ところが病院は妻に10ページほどの同意書への署名を求めてきて、あれを読む人がいるとはとても思えない。
だからといって、その書類のせいで入院を断られるとも思えない。
自分を愛国者だと思っているアメリカ人の間でも、こういう文化が広く浸透しているのは情けない。
この国は反乱と権利の主張の上に築かれたのに、どうして今では多くの市民にとってその正反対が理想になってしまったのかと思う。
実際の決定文(ノルウェー語): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
ブログ記事が扱う概要と5.1節の機械翻訳版(ほかの内容も一部含む): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
後で見たら、公式の英語版決定文もあった: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...
「マーケティング/オファーを受け取るには顧客クラブの会員でなければならない」という文だけ見ると、よくわからない。
「顧客クラブの会員になるにはマーケティング/オファーの受信が条件」という意味なら別問題だが、上の文だとむしろマーケティングの受信をするにはクラブ加入が必要だと言っているように見える。
翻訳や表現の過程で何かが逆になった気がする。
割引や特別キャンペーンを受けるにはクラブ会員である必要があり、クラブ会員ならメール受信に同意しなければならず、EU法上はともかくすべての割引にアクセスする権利がある、という話のように思える。
それ自体はまったく普通で合理的に聞こえる。
たとえば「オファーを受けることは…加入しているための条件である」のような構造だ。
5年なんて完全に冗談みたいだ。民主主義と法の支配はもう存在しないように見える。
政治家はますます金持ちになり、誰も対抗せず、地位は家族に引き継がれ、税金は上がり続けるのにサービスは悪化し続ける。
その一方で、ヨーロッパと西側民主主義の崩壊を進行形で見られるという点では興味深くもある。
ローマ帝国末期にもこんな苦しい下降が起きたのだろうし、今はヨーロッパ/アメリカ帝国の終わりを見ているようだ。
EU企業が面接前に候補者へ反プライバシー的な方針への同意を強要する問題もある。ややこしいことに、それは「プライバシーポリシー」という名前が付いている。
その方針には、会社や第三者、事実上ほぼ誰にでも、音声や画像を含むデータをどんな目的にも使う権限を与えると書かれている。
もちろん一般人には理解しづらいよう、少し曖昧な表現で書かれている。
こういう場合にも似たような措置が取られたことがあるのか気になる。
そうした文言はコンプライアンス要件を満たしにくい可能性が高い。
効果を最大化するなら、その会社にGDPR第15条の開示請求をして実際のデータ受領者一覧を入手し、その項目を必ず具体的に求めたうえで、その会社すべてに対して再度請求を送ればよい。
そうすれば追加の苦情を出す余地が生まれる。たとえば、なぜ第14条の情報を送らなかったのか、元の法的根拠が同意で、しかも自由に与えられた同意でなかったなら、その法的根拠が本当に適切だったのか、といった点を問える。
この人の立場は理解できるが、自分に有利な判断を下した 法的機関 を再び訴えたという点は、やはりまだおかしい
彼に有利な判断を下したのは ノルウェー個人情報保護当局 だ
おそらく IMY はこの件が自分たちの権限外だと判断して Datatilsynet に苦情を回し、事件を閉じたあと Hanff に知らせるのを忘れたか、Datatilsynet から何の返答も受け取れなかった可能性がある
原文引用: 数日後に受け取った回答は、違反の事実を記録として残してくれる親切な役割を果たした。彼らの立場は、自分たちの言葉で言えば「マーケティング/オファーを受け取るには、顧客クラブの会員でなければならない」というものだった。
これがどうして「クラブ会員なら必ずマーケティング/オファーを受け取らなければならない」という意味になるのかわからない。
単に「会員だけが マーケティング/オファー を受け取る」という意味に見える
ノルウェー個人情報保護当局である Datatilsynet は、私の経験では一貫して利用者を念頭に置いている。
システムを通過するのに時間がかかるのは残念だが、一貫して良い判断を下すほうだ
画像は私には読み込まれず、生成に使われた プロンプト だけが見えるが、正直そちらのほうがいい
たった今リロードしたら CSS も読み込まれ、プロンプトももう見えなくなった。
おそらくウェブサーバーが一時的にトラフィックに圧倒されていて、ある訪問者には画像が、別の訪問者には CSS ファイルが、一貫して提供されなかったのだと思う
Elkjøp に実際に罰金が科されたのはとても良く、当然のことだが、当事者に継続して知らせていなかったのはかなり驚きだ