जबरन सहमति पर सवाल उठने के 5 साल बाद Elkjop पर €1.8 मिलियन का जुर्माना

 (thatprivacyguy.com)
1 पॉइंट द्वारा GN⁺ 7 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Elkjop Group के Nordic customer club में marketing emails बंद करने के लिए membership खत्म करनी पड़ती थी, और 2021 में एक सदस्य ने इसे GDPR और ePrivacy का उल्लंघन बताया
  • मुख्य सवाल यह था कि direct marketing से इनकार करने के लिए customer club के फ़ायदे छोड़ना पड़े, तो क्या ऐसी व्यवस्था स्वतंत्र सहमति की शर्त पूरी करती है
  • Sweden के नियामक IMY ने मामला Norway की parent company के अधिकार क्षेत्र में भेज दिया, और Datatilsynet ने 1 जून 2026 को NOK 20 million का, यानी लगभग €1.8 million से थोड़ा अधिक का जुर्माना लगाया
  • Datatilsynet ने माना कि सहमति जबरन ली गई थी, पर्याप्त रूप से विशिष्ट नहीं थी, और ठीक से सूचित भी नहीं किया गया था; साथ ही जुटाए गए personal data का विज्ञापन और conversion tracking के लिए दोबारा इस्तेमाल करते समय GDPR Article 6(4) के तहत compatibility assessment भी नहीं किया गया
  • शिकायतकर्ता का कहना है कि नियामकों ने उन्हें फैसले की सूचना नहीं दी और उन्हें नतीजे का पता GDPRhub से चला; अब वे IMY से स्पष्टीकरण मांग रहे हैं और EU infringement procedure तथा Elkjop के खिलाफ civil lawsuit की चेतावनी दे रहे हैं

Marketing opt-out का membership cancellation से जुड़ा ढांचा

  • 2021 की गर्मियों में Elgiganten Kundklubb के एक सदस्य ने देखा कि Elkjop Group के पूरे Nordics में चलने वाले customer club में marketing emails बंद करने का तरीका क्या है
  • व्यवहार में marketing बंद करने के लिए customer club membership ही रद्द करनी पड़ती थी
  • सदस्य ने 30 जुलाई को Data Protection Officer को बताया कि यह व्यवस्था कानून का उल्लंघन करती है
    • GDPR Article 21(2) हर व्यक्ति को direct marketing के खिलाफ पूर्ण आपत्ति का अधिकार देता है
    • ePrivacy Directive के तहत email marketing तभी वैध है जब सहमति हो, या पहले से customer relationship हो, और data collection के समय तथा बाद के हर message में आसान opt-out दिया जाए
    • GDPR Article 4(11) और Article 7 के अनुसार सहमति स्वतंत्र रूप से दी गई होनी चाहिए; उसे किसी और शर्त से नहीं बांधा जा सकता और न ही अनिवार्य शर्त बनाया जा सकता है
  • अगर किसी को पहले से मिले अधिकार का उपयोग करने के लिए customer club के फ़ायदे छोड़ने पड़ें, तो ऐसी सहमति स्वतंत्र रूप से दी गई सहमति नहीं मानी जा सकती

Elkjop का जवाब और शिकायत दर्ज होना

  • Elkjop की ओर से जवाब दिया गया कि “marketing/offers पाने के लिए customer club का सदस्य होना एक शर्त है”
  • सदस्य के नज़रिए से देखें तो अधिकार के उपयोग को sign-up condition में बदल देने वाली व्यवस्था लिखित रूप में दर्ज हो गई
  • इसके बाद सदस्य ने कई प्रक्रियाएँ आगे बढ़ाईं
    • GDPR Article 18 के तहत processing restriction की औपचारिक मांग की
    • Article 15 के तहत पूरा data subject access request भेजा
    • request के दायरे में legal basis, legitimate interest balancing test, recipients, subprocessors, international transfers, profiling आदि शामिल थे
    • Sweden की supervisory authority Integritetsskyddsmyndigheten(IMY) के पास शिकायत दर्ज की गई, जिसका reference number DI-2021-6660 था
  • कंपनी ने अस्पष्ट privacy policy का हवाला दिया और बाद में access request की समयसीमा 90 दिन तक बढ़ाते हुए “complexity” और “limited internal resources” को कारण बताया

Sweden की शिकायत से Norway के जुर्माने तक का रास्ता

  • customer club को Norway की parent company Elkjop Nordic AS चला रही थी, और यह भी माना गया कि processing के उद्देश्यों और साधनों पर वास्तविक निर्णय लेने का अधिकार parent company के पास था
  • IMY ने सितंबर 2022 में तय किया कि वह उपयुक्त jurisdiction authority नहीं है
  • GDPR Article 56(1) के one-stop-shop ढांचे में controller की main establishment जिस देश में हो, उसी देश की supervisory authority के पास jurisdiction होता है
    • main establishment Norway में है
    • IMY ने जांच और शिकायत Norway की DPA Datatilsynet को भेज दी
    • Datatilsynet ने मामला स्वीकार कर लिया
  • इसके बाद मामला लंबे समय तक बिना किसी खास सार्वजनिक अपडेट के चलता रहा

2026 में Datatilsynet का फैसला

  • 1 जून 2026 को Datatilsynet ने Elkjop Group पर NOK 20 million का, यानी लगभग €1.8 million से थोड़ा अधिक का जुर्माना लगाया
  • फैसले का मूल वही था जो 2021 की शिकायत में उठाया गया था
    • customer club की सहमति वैध नहीं थी
    • सहमति जबरन थी
    • सहमति पर्याप्त रूप से विशिष्ट नहीं थी
    • सदस्यों को पर्याप्त जानकारी नहीं दी गई थी
  • Datatilsynet ने यह भी माना कि Elkjop ने customer club के जरिए जुटाए गए personal data का अतिरिक्त उपयोग advertising और conversion tracking के लिए किया
  • personal data को दूसरे उद्देश्य के लिए दोबारा इस्तेमाल करने से पहले GDPR Article 6(4) के तहत जरूरी compatibility assessment नहीं किया गया, यह भी एक समस्या थी
  • फैसले में Article 4(11), 5(1)(a), 5(2), 6(1)(a), 6(1)(f), 6(4) शामिल हैं
    • यानी पूरे ढांचे की lawfulness, fairness, transparency और accountability पर एक साथ विचार किया गया

जबरन सहमति और pay-or-consent समस्या

  • जबरन सहमति, pay-or-consent, bundled consent, और “सब कुछ मंजूर करो, नहीं तो service इस्तेमाल नहीं कर सकते” जैसे मॉडल digital economy के बड़े हिस्से में लगभग डिफ़ॉल्ट तरीके की तरह इस्तेमाल होते हैं
  • मूल बात यह है कि अगर इनकार करने पर उपयोगकर्ता वह चीज़ खो देता है जिसे बनाए रखने का उसे अधिकार होना चाहिए, तो ऐसी सहमति स्वतंत्र सहमति नहीं हो सकती
  • 5 साल और 7 अंकों के जुर्माने के बाद यह सिद्धांत अब एक सार्वजनिक फैसले के रूप में दर्ज हो गया है

शिकायतकर्ता को सूचना देने की बाध्यता और आगे की कार्रवाई

  • शिकायतकर्ता ने कहा कि उन्हें किसी गुरुवार सुबह यह फैसला IMY या Datatilsynet से नहीं, बल्कि volunteer-run wiki GDPRhub से पता चला
  • GDPR Article 77(2) कहता है कि supervisory authority को शिकायतकर्ता को शिकायत की प्रगति और परिणाम की जानकारी देनी चाहिए
    • यह कोई विवेकाधीन या सद्भावना वाली बात नहीं, बल्कि कानूनी दायित्व है
    • शिकायत IMY के पास दर्ज हुई थी, और IMY द्वारा भेजा गया मामला लाखों यूरो के enforcement पर खत्म हुआ, लेकिन शामिल संस्थाओं में से किसी ने भी शिकायतकर्ता को इसकी सूचना नहीं दी
  • शिकायतकर्ता ने IMY से लिखित स्पष्टीकरण मांगा और जवाब की समयसीमा 5 working days रखी
  • उनका कहना है कि अगर जवाब उम्मीद के मुताबिक रहा, तो वे European Union की infringement procedure के तहत मामला उठाएंगे
  • regulatory process खत्म हो चुकी है, इसलिए Elkjop Group के खिलाफ civil lawsuit भी बाकी है; उनका कहना है कि personal data की अतिरिक्त अवैध processing के विवरण के कारण मुकदमे का दायरा और बड़ा हो सकता है
  • अगर Elkjop ने 2021 में ही उठाई गई आपत्ति स्वीकार कर ली होती, तो वह जुर्माना, अवैध processing, brand damage और बाद की मुकदमेबाजी से बच सकता था

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 7 시간 전
Hacker News की राय

  • अच्छा है कि आखिरकार इस मामले का नतीजा ठीक निकला, और जैसे-जैसे dystopia बढ़ती जा रही है, काश और लोग भी ऐसा ही जिएँ
    खासकर अमेरिका में, सिर्फ अपने अधिकारों का इस्तेमाल करना या जिन दस्तावेज़ों पर साइन करना है उन्हें पूरा पढ़ लेना भी अजीब तरह से अपने आसपास के लोगों को लगातार परेशान करने जैसा बना देता है, और ऐसे लोगों की तुलना में आपको काफ़ी नुकसान में डाल देता है जो कोई बवाल नहीं चाहते और चुप रहते हैं या “चलो, ठीक ही होगा” कहकर आगे बढ़ जाते हैं

    • मैं एक नए अस्पताल गया था, और registration के दौरान उन्होंने कहा कि insurance ठीक से process करने के लिए मुझे एक छोटे digital pad पर “sign” करना होगा
      मैंने पूछा कि मैं किस चीज़ पर साइन कर रहा हूँ उसका paper copy दिखाएँ, लेकिन उन्हें वह मिला नहीं, और किसी वजह से वे print भी नहीं कर सकते थे, तो आखिरकार मैंने हार मानकर उंगली से जैसा-तैसा sign कर दिया और इलाज कराया; यह सचमुच पागल कर देने वाली बात है
    • मैंने अमेरिका में एक apartment किराए पर लिया था, और कागज़ात में लिखा था कि landlord मेरे और मेरे परिवार के video·photo·audio recordings बना सकता है और उन्हें commercial purpose समेत अपने कामों में इस्तेमाल कर सकता है
      मैंने विरोध किया, लेकिन उनका रवैया यह था कि सिर्फ मेरे लिए legal team को नहीं लाया जाएगा, और अगर पसंद नहीं है तो मैं जा सकता हूँ
    • मैं उन लोगों में हूँ जो जिस contract पर sign करते हैं उसकी हर लाइन पढ़ते हैं, इसमें Terms of Service और Privacy Policy भी शामिल हैं
      मुझे तो यह जानना अच्छा लगता है कि इससे किसे असुविधा होती है। इससे पता चलता है कि कौन हाथ तो मिलाता है लेकिन वादा निभाने का इरादा नहीं रखता
      इस अनुभव ने मेरा ऐसे दस्तावेज़ लिखने का तरीका भी बदल दिया, और आख़िरी बार जो Terms of Service और Privacy Policy मैंने लिखी थीं, उन्हें इतना छोटा रखा कि एक ही साँस में पढ़ा जा सके
    • मेरी पत्नी ने हाल ही में बच्चे को जन्म दिया, और जब हम अस्पताल पहुँचे तो contractions का gap इतना कम था कि उसे admit किया जाना था
      लेकिन अस्पताल ने उसके सामने करीब 10 पन्नों के consent forms रख दिए जिन पर sign करना था, और यह सोचना मुश्किल है कि कोई उन्हें वास्तव में पढ़ेगा
      उतना ही मुश्किल यह सोचना भी है कि उन कागज़ों की वजह से अस्पताल भर्ती से इनकार कर देता
    • सही बात। इसी thread में भी कुछ लोग सिर्फ इसलिए “इस customer को हमेशा के लिए ban कर दूँगा” जैसी बात करते दिख रहे हैं क्योंकि वह अपने अधिकार जानता है, जो खास तौर पर दुखद है
      अपने आपको patriot मानने वाले अमेरिकियों के बीच भी ऐसी संस्कृति का इतना फैल जाना शर्मनाक है
      यह देश rebellion और अधिकारों के दावे पर बना था, लेकिन न जाने कैसे अब बहुत से नागरिकों के लिए इसका उलटा ही आदर्श बन गया है

  • असली निर्णय-पत्र (नॉर्वेजियन): https://www.datatilsynet.no/contentassets/c8d0551d2a64403285...
    ब्लॉग पोस्ट में शामिल सारांश और section 5.1 का machine translation (साथ में कुछ और सामग्री भी): https://chatgpt.com/share/6a34732c-0fa4-83e8-aae1-95c25dd117...
    बाद में देखा कि आधिकारिक English decision भी मौजूद थी: https://www.datatilsynet.no/contentassets/59addbef9c1b48a28f...

  • “marketing/offers पाने के लिए customer club member होना ज़रूरी है” यह वाक्य अपने आप में कुछ अटपटा लगता है
    अगर मतलब यह हो कि “customer club member बनने के लिए marketing/offers पाना एक शर्त है”, तो वह अलग बात होगी, लेकिन ऊपर का वाक्य तो उल्टा यह कहता दिखता है कि marketing messages पाना हो तो club join करना पड़ेगा
    लगता है translation या wording में कहीं कुछ उलट गया है

    • यह translation की समस्या है। नॉर्वेजियन मूल वाक्य का मतलब था कि loyalty club में शामिल होने के लिए marketing activities को स्वीकार करना ज़रूरी था, लेकिन machine translation ने उसे natural English संरचना में ढालने के बजाय लगभग शब्दशः उतार दिया
    • हाँ, यह उल्टा लगता है, और शायद “customer club member बनने के लिए marketing/offers प्राप्त करना ज़रूरी है” कहना सही होगा
    • यहाँ “marketing/offers” से शायद discounts का मतलब है
      यानी discounts या special promotions पाने के लिए club member होना पड़ेगा, club member बनने के लिए email receive करने पर सहमति देनी होगी, और EU कानून के तहत फिर भी हर किसी को उन discounts तक पहुँच का अधिकार होना चाहिए—कुछ ऐसा मामला लगता है
    • मुझे भी समझ नहीं आता। अगर membership receive करने की शर्त है, तो मेरी समझ में उसका मतलब सिर्फ इतना है कि non-members कुछ नहीं पा सकते या उन्हें कुछ भेजा नहीं जाना चाहिए; इसका मतलब यह नहीं कि members को ज़रूर कुछ मिलना ही चाहिए
      अपने आप में यह तो पूरी तरह सामान्य और तर्कसंगत लगता है
    • यह किसी translation error जैसा लगा जो German-speaking भाषाओं की संरचना से आया हो
      जैसे “offers प्राप्त करना… सदस्य बने रहने की शर्त है” जैसी कोई रचना

  • 5 साल? यह तो पूरा मज़ाक लगता है। लोकतंत्र और rule of law जैसे अब बचे ही नहीं
    राजनेता और अमीर होते जाते हैं, कोई उनका सामना नहीं करता, वे अपने पद परिवार को सौंप देते हैं, taxes बढ़ते जाते हैं और services बदतर होती जाती हैं
    दूसरी ओर, यूरोप और पश्चिमी लोकतंत्रों का विघटन अपने सामने होते देखना दिलचस्प भी है
    रोमन साम्राज्य के आख़िरी दौर में शायद ऐसा ही पीड़ादायक पतन हुआ होगा, और अभी लगता है जैसे हम यूरोपीय/अमेरिकी साम्राज्य का अंत देख रहे हैं

  • EU की कंपनियों द्वारा interview से पहले candidates से anti-privacy policy पर सहमति लेने की मजबूरी भी एक समस्या है। भ्रमित करने के लिए उसका नाम “Privacy Policy” रखा होता है
    उसमें लिखा होता है कि कंपनी और third parties, बल्कि लगभग कोई भी, voice और image समेत data को किसी भी purpose के लिए इस्तेमाल कर सकते हैं
    बेशक इसे थोड़ा अस्पष्ट तरीके से लिखा जाता है ताकि आम लोग समझ न सकें
    जानना चाहूँगा कि ऐसे मामलों में भी कोई वैसी ही कार्रवाई हुई है या नहीं

    • मैंने खुद ऐसा अनुभव नहीं किया, लेकिन आप अपने क्षेत्र की data protection authority में शिकायत दर्ज कर सकते हैं
      ऐसी wording के compliant होना मुश्किल होने की काफ़ी संभावना है
      असर अधिकतम करने के लिए उस कंपनी को GDPR Article 15 access request भेजें, actual data recipients की list लें, उस बिंदु को खास तौर पर specify करें, फिर उन सभी कंपनियों को भी request भेजें
      इससे आगे और शिकायतों की गुंजाइश बन सकती है। जैसे, उन्होंने Article 14 की जानकारी क्यों नहीं भेजी, अगर मूल legal basis consent था और वह freely given consent नहीं था, तो क्या वह legal basis वास्तव में उचित था, वगैरह
    • हाल में एक EU कंपनी को https://www.crosschq.com/ इस्तेमाल करते देखा, जो थोड़ा खटका

  • मैं इस व्यक्ति के रुख को समझता हूँ, लेकिन यह बात अब भी मज़ेदार लगती है कि उसने उस कानूनी संस्था पर फिर से मुकदमा किया, जिसने मामले का फ़ैसला उसके पक्ष में किया था

    • समझ नहीं आ रहा इसका मतलब क्या है। सुनने में यह लगता है कि वह संबंधित कंपनी पर मुकदमा करने की योजना बना रहा है, और शायद Swedish data protection authority के खिलाफ शिकायत भी कर सकता है.
      जिसने उसके पक्ष में फ़ैसला किया था, वह Norwegian data protection authority है
    • Norwegian data protection authority Datatilsynet की रिपोर्ट देखें तो पृष्ठभूमि के तौर पर “कई शिकायतों और सूचनाओं” का हवाला दिया गया है.
      शायद IMY ने माना कि यह मामला उसके अधिकार क्षेत्र से बाहर है और शिकायत Datatilsynet को भेज दी, फिर केस बंद करने के बाद Hanff को बताना भूल गया, या Datatilsynet से उसे कोई जवाब ही नहीं मिला
    • अगर उसने GDPR के निर्माण को प्रभावित किया था, और बाकी आम लोग कुल मिलाकर बेबस महसूस करते हैं, जबकि संबंधित संस्थाएँ भी ठीक से काम नहीं कर रहीं, तो आखिरकार जवाबदेही तय करने वाला शायद वही अकेला व्यक्ति हो सकता है

  • मूल उद्धरण: कुछ दिनों बाद मिला जवाब सिर्फ इतना था कि उसने उल्लंघन को रिकॉर्ड पर छोड़ने का शिष्ट काम किया। उनकी स्थिति, उनके अपने शब्दों में, यह थी: “मार्केटिंग/ऑफ़र पाने के लिए आपको customer club का सदस्य होना चाहिए”.
    यह कैसे “अगर आप club member हैं, तो आपको अनिवार्य रूप से marketing/offers मिलेंगे” के अर्थ में बदल जाता है, यह समझ नहीं आता.
    यह तो बस “सिर्फ सदस्य ही marketing/offers पाते हैं” जैसा लगता है

  • Norwegian data protection authority Datatilsynet मेरे अनुभव में लगातार users को ध्यान में रखता है.
    अफ़सोस यह है कि सिस्टम से होकर निकलने में बहुत समय लगता है, लेकिन यह लगातार अच्छे फ़ैसले लेने की प्रवृत्ति रखता है

  • मेरे यहाँ image लोड नहीं हो रही, और सिर्फ उसे बनाने में इस्तेमाल किया गया prompt दिख रहा है, लेकिन सच कहूँ तो वही बेहतर है

    • मेरी तरफ़ image और prompt दोनों दिख रहे थे, लेकिन पूरे पेज पर styling लागू नहीं हुई थी.
      अभी refresh किया तो CSS भी लोड हो गया और prompt अब दिखाई नहीं दे रहा.
      शायद web server अस्थायी रूप से traffic से दब गया था, इसलिए कुछ visitors को image और कुछ को CSS files लगातार नहीं मिल पा रही थीं
    • क्या यह prompt नहीं, बल्कि screen readers के लिए accessibility description हो सकता है?
    • मॉडल को “wide-angle cinematic still” style में generate करने का निर्देश दिया गया था, लेकिन नतीजा ज़्यादा illustration की तरफ़ चला गया, जो थोड़ा मज़ेदार है

  • Elkjøp पर वास्तव में जुर्माना लगाया गया, यह बहुत बढ़िया और बिल्कुल सही बात है, लेकिन संबंधित व्यक्ति को इसकी जानकारी देते नहीं रहे, यह काफ़ी चौंकाने वाला है

    • मुझे सूचित करने की ज़िम्मेदारी उनकी नहीं, बल्कि Swedish regulator IMY की थी