Hvad er betingelserne for et gyldigt samtykke efter GDPR?

Et samtykke er ét ud af flere mulige behandlingsgrundlag efter databeskyttelsesforordningen. For at et samtykke kan bruges som et gyldigt behandlingsgrundlag, skal en række betingelser være opfyldt. Samtykket skal være: Frivilligt. Det vil sige, at samtykket skal gives uden pres eller tvang. Den registrerede skal have et reelt valg og må ikke lide en negativ konsekvens ved at sige nej. Specifikt. Det vil sige, at samtykket skal være konkret og afgrænset til ét eller flere klart definerede formål. Der skal gives samtykke specifikt til hvert enkelt formål.Informeret. Den registrerede skal forud for afgivelse af samtykke have relevante informationer om bl.a. formålet med behandlingen, hvilke oplysninger der behandles, retten til at trække samtykket tilbage mv. En utvetydig viljestilkendegivelse. Samtykket skal gives som en aktiv handling. Det vil sige, at en stiltiende accept, forudafkrydsede felter eller passivitet ikke er tilstrækkeligt.

Elkjøp får bøde på 20 mio. NOK for ulovlig brug af kundedata i kundeklub

Nyhed

12.06.2026

Det norske Elkjøp (i Danmark Elgiganten) har fået en millionbøde i en sag, der handler om ulovlig behandling af personoplysninger til markedsføring og profilering. Et område, som mange detailhandelsvirksomheder arbejder med indenfor kundeklubber og loyalitetsprogrammer.

Læs med og se, hvorfor ”rabat i bytte for data” er risikabelt juridisk set, og hvad du skal gøre i stedet.

Det norske Datatilsyn har den 1. juni 2026 idømt Elkjøp for brud på GDPR i virksomhedens kundeklub i forbindelse med behandling af personoplysninger til markedsføring og profilering.

Over 6 millioner kundeklubmedlemmer i Norden var berørt, og resultatet blev en bøde svarende til ca. 13,5 millioner danske kroner.

Sagen kort: Hvad gik galt?

Det norske Datatilsyn konstaterede bl.a.:

At Elkjøp ikke havde indhentet gyldigt samtykke til behandlingen
At samtykket hverken var tilstrækkeligt specifikt, informeret eller frivilligt
At personoplysninger blev genbrugt til nye formål uden gyldigt behandlingsgrundlag
At virksomheden ikke håndterede registreredes rettigheder rettidigt

Et samtykke er ét ud af flere mulige behandlingsgrundlag efter databeskyttelsesforordningen.

For at et samtykke kan bruges som et gyldigt behandlingsgrundlag, skal en række betingelser være opfyldt. Samtykket skal være:
- Frivilligt. Det vil sige, at samtykket skal gives uden pres eller tvang. Den registrerede skal have et reelt valg og må ikke lide en negativ konsekvens ved at sige nej.
- Specifikt. Det vil sige, at samtykket skal være konkret og afgrænset til ét eller flere klart definerede formål. Der skal gives samtykke specifikt til hvert enkelt formål.
- Informeret. Den registrerede skal forud for afgivelse af samtykke have relevante informationer om bl.a. formålet med behandlingen, hvilke oplysninger der behandles, retten til at trække samtykket tilbage mv.
- En utvetydig viljestilkendegivelse. Samtykket skal gives som en aktiv handling. Det vil sige, at en stiltiende accept, forudafkrydsede felter eller passivitet ikke er tilstrækkeligt.

Særligt interessant: Kravet om frivillighed

Afgørelsen sætter to streger under et klassisk – og ofte overset – punkt: Samtykke er ikke frivilligt, hvis kunden reelt presses til at acceptere behandling for at opnå almindelige fordele.

Det norske Datatilsyn peger eksplicit på, at virksomheder skal undgå modeller, hvor:

kunden kun kan opnå generelle rabatter ved at acceptere omfattende databehandling
flere behandlingsformål “bundles” i ét samtykke
kunder ikke kan sige nej til f.eks. profilering uden samtidig at miste hele medlemsfordelen

Med andre ord: “Rabat i bytte for data” som standardmodel er juridisk risikabel.

Vores vurdering: Det drejer sig om fejl i kundedata og samtykke, som formentlig findes hos mange virksomheder

Afgørelsen er principielt interessant – ikke fordi overtrædelserne er usædvanlige, men netop fordi de er det modsatte.

Det norske Datatilsyn fremhæver selv, at der er tale om fejl, som formentlig er udbredt i mange virksomheder.

Vi vurderer, at afgørelsen især får betydning for virksomheder med:

kundeklubber og lignende loyalitetsprogrammer, hvor modtagelse af en rabat er betinget af, at man tilmelder sig som medlem. I det tilfælde vil samtykket nemlig være ugyldigt, og behandlingen ulovlig.
personaliseret markedsføring og profilering. Denne form for behandling kræver et gyldigt samtykke, der er i overensstemmelse med GDPR og gyldighedsbetingelserne.
brug af kundedata til annoncering (f.eks. “customer match”), det vil sige brug af data om kunder til at vise målrettede annoncer. Dette kræver også et gyldigt samtykke, der er frivilligt, specifikt, informeret og en utvetydig viljestilkendegivelse.

Det er ikke længere tilstrækkeligt at indhente ét bredt samtykke til “markedsføring”. Især hvis din forretningsmodel i høj grad læner sig op ad samtykket.

Virksomheder skal i højere grad sikre:

opdeling af samtykker i flere formål (f.eks. samtykke til modtagelse af nyhedsbreve, til profilering og til målrettet annoncering). Der skal med andre ord være mulighed for at vælge nogle formål til og andre fra.
reelt fravalg uden konsekvenser for basale ydelser eller generelle rabatter. Generelle rabatter skal være for alle og må ikke være betinget af afgivelse af personoplysninger ved tilmelding til en kundeklub.
klar og rettidig information om brugen af data

Hvad skal du gøre for at undgå ulovlig brug af kundedata:

Gennemgå dine kundeklubber og rabatprogrammer: Har I en forretningsmodel, hvor man skal være medlem for at modtage en generel rabat? Så bør modellen genovervejes, da samtykket kan være ugyldigt og i strid med betingelsen om frivillighed.
Undgå “all-or-nothing”-samtykker. Formålene skal være delt op.
Dokumentér behandlingsgrundlag for hvert formål.
Vær særlig opmærksom på brug af data til tredjepartsannoncering.

Lad HjulmandKaptains specialister i databeskyttelse og markedsføringsret hjælpe dig

Har din virksomhed en kundeklub, eller arbejder I med personaliseret markedsføring?

Så kan vi hjælpe dig med at gennemgå jeres setup og sikre, at samtykker, behandlingsgrundlag og processer lever op til GDPR – både juridisk og i praksis.