五年前指出强制同意违法，如今埃尔克乔普被挪威数据保护局处以 180 万欧元罚款-CSDN博客

五年前指出强制同意违法，如今埃尔克乔普为此付出 180 万欧元代价

2026 年 6 月 18 日，作者亚历山大·汉夫讲述了自己经历的一起隐私合规事件。早在 2021 年夏天，他加入了埃尔格伊根特恩客户俱乐部，这是埃尔克乔普集团在北欧地区运营的客户俱乐部。和许多会员一样，他被大量营销邮件淹没，于是想办法关闭这些邮件，却发现停止接收营销邮件的唯一办法是完全取消俱乐部会员资格。

指出安排违法

7 月 30 日，他写信给该俱乐部的数据保护官，说明这种安排违法。依据《通用数据保护条例》（GDPR）第 21(2) 条，每个人有绝对权利拒绝直接营销；根据《电子隐私指令》，通过电子邮件进行营销需明确同意，且有效同意必须自愿，不能与其他事情捆绑。强迫放弃会员资格以行使权利，属于典型的非自愿同意。

记录违规行为

几天后收到的回复，将违规行为记录在案。对方称“要接收营销信息/优惠，必须成为客户俱乐部的会员”，把原本可免费行使的权利变成加入俱乐部的代价。

采取进一步行动

于是，他采取进一步行动。依据第 18 条要求限制数据处理，依据第 15 条发出全面主体访问请求，还向瑞典监管机构数据保护局（IMY）投诉，案件编号 DI - 2021 - 6660。该公司先是让他看含糊隐私政策，后以“情况复杂”和“内部资源有限”为由，将访问请求处理期限延长到 90 天。

案件移交

此时，《通用数据保护条例》机制发挥作用。该客户俱乐部由挪威母公司埃尔克乔普北欧公司运营，2022 年 9 月，IMY 认为自己不适合处理，根据第 56(1) 条一站式服务规定，将调查和投诉转交给挪威数据保护局，后者受理此案。

作出处罚决定

2026 年 6 月 1 日，挪威数据保护局对埃尔克乔普集团处以 2000 万挪威克朗（略高于 180 万欧元）罚款，发现的问题与 2021 年他指出的一致。该公司客户俱乐部依赖的同意无效，是强制、不具体的，会员未得到充分告知，且将收集的个人数据用于广告和转化跟踪，未按第 6(4) 条要求进行兼容性评估，涉及第 4(11)、5(1)(a)、5(2)、6(1)(a)、6(1)(f) 和 6(4) 条，整个安排的合法性、公平性、透明度和问责性存在问题。

强调违法现象及后续处理

作者指出，强制同意等模式在数字经济中常见且违法。他不是从监管机构得知处罚决定，而是在维基网站 GDPRhub 上偶然看到，距离投诉已近五年。根据《通用数据保护条例》第 77(2) 条，监管机构有义务向投诉人通报情况，他写信要求 IMY 书面解释，给了五个工作日时间，若答案如预期，将依据欧盟侵权程序申诉。

多年来他强调隐私是个人的事，2021 年法律站在他这边，现在依然如此。埃尔克乔普集团已为选择付出代价。未解决的事，一是监管机构应给出解释，二是监管程序结束后，他将对埃尔克乔普集团提起民事诉讼，鉴于掌握更多个人数据非法处理细节，诉讼范围会更广。他提醒，当以数据保护官身份投诉时，应认真对待，他是参与制定法律的专家，不会因不便放弃，这是毕生事业，写信是免费建议，应重视而非拒绝改变。