Brister i butikernas hantering av kundinformation

En granskning av Resumé och Market har undersökt hur butikskedjor på Drottninggatan i Stockholm hanterar registreringen av kunduppgifter för lojalitetsprogram. Resultatet visar på betydande brister i efterlevnaden av gällande regler.

Under granskningen testade reportrarna att bli medlemmar i flera butikskedjors program. Flera välkända kedjor registrerade kunder utan att de fick möjlighet att läsa eller aktivt godkänna villkor för hantering av personuppgifter.

Enligt dataskyddsförordningen, GDPR, ska samtycke till behandling av personuppgifter vara informerat och ges genom en tydlig bekräftelse från kunden. Men granskningen visar att registreringarna ofta gick betydligt snabbare än så.

Exempelvis hos Lager 157, Kappahl, Rituals, Guldfynd och Hifi Klubben blev kunder registrerade utan att villkor visades upp eller samtycke inhämtades. I vissa fall ska butikspersonal ha klickat igenom godkännanden på kundskärmar.

Andra kedjor befinner sig i en juridisk gråzon, anser Resumé och Market. Hos Ur & Penn fick kunder exempelvis trycka på ”godkänn” utan tydlig information om vad samtycket gällde.

Flera kedjor, såsom Kicks, Gina Tricot, Hemtex och Arket, har dock vidtagit åtgärder som gör att kunder får läsa och godkänna villkor digitalt innan medlemskapet aktiveras.

Efter granskningen meddelar flera kedjor att de avser att se över sina rutiner.