2021年夏天，我是Elkjop集团在北欧运营的客户俱乐部Elgiganten Kundklubb的会员，像很多会员一样，我收到了大量的营销邮件。于是，我采取了明显的办法，寻找关闭邮件的方式。然而，我发现的问题是，解决这个问题花了五年时间——停止营销的唯一方法就是完全取消我的会员资格。我在7月30日给他们的数据保护官写信，清楚地说明了这种安排为何违反法律。根据GDPR第21(2)条，任何人都有绝对权利反对直接营销。根据电子隐私指令，电子邮件营销只有在我已经给予同意的情况下，或者在存在客户关系的情况下才是合法的，并且在收集我的信息时以及之后的每一条消息中，都要提供简单的选择退出方式。而且，只有在自由给予的情况下 consent 才有意义——根据第4(11)条和第7条的规定，它不能与其他条件捆绑在一起，也不能成为其他事物的条件。强迫我放弃我的会员资格及其带来的好处，仅仅是为了行使我已有的权利，正是一个没有自由给予的同意的教科书例子。 他们把违规行为写了下来 我几天后收到的回复让我感到安慰，因为他们将违规行为记录在案。他们的态度，按照他们自己的话说，就是“为了接收营销/优惠，成为客户俱乐部的会员是一个条件。”这一句话就是案件的全部。他们把我有权无偿行使的权利变成了入场的价格。于是我提出了上诉。我根据第18条正式提出了处理限制，我根据第15条发送了完整的主题访问请求——他们依赖的法律依据、合法利益平衡测试、接收方、子处理方、国际转移、个人资料分析，所有这些——并且我向瑞典监管机构Integritetsskyddsmyndigheten (IMY)提交了投诉，案例编号为DI-2021-6660。公司对此做出的回应是让我查看一个模糊的隐私政策，然后在这没有效果的情况下，将我的访问请求的截止日期延长至九十天，理由是“复杂性”和“内部资源有限”。 瑞典的投诉如何变成挪威的罚款 这就是GDPR的机制发挥作用的地方。客户俱乐部由挪威的母公司Elkjop Nordic AS运营，事实上，正是母公司对处理目的和手段拥有真正的决策权。因此，在2022年9月，IMY决定这根本不是合适的权威机构。根据第56(1)条的一站式监管原则，主管监管机构是控制者主要设立地的监管机构，而该设立地点位于挪威。IMY将调查和我的投诉移交给了挪威数据保护局Datatilsynet，该局接受了此案。然后，事情如同往常一样，沉寂了很长时间。2026年6月1日，沉寂结束。Datatilsynet对Elkjop集团处以2000万挪威克朗的罚款，稍微超过180万欧元，他们发现的情况正是我在2021年告诉他们的情况。公司依赖的客户俱乐部的同意是无效的——它是被强迫的，不具体，且会员未得到适当告知。此外，该公司还利用通过俱乐部收集的个人数据进行广告和转化追踪，而没有进行第6(4)条规定的兼容性评估，以便在重新使用人们的数据之前进行审查。该决定涵盖了第4(11)、5(1)(a)、5(2)、6(1)(a)、6(1)(f)和6(4)条——整个安排的合法性、公正性、透明度和责任。 我想让大家清楚明白，为什么这一点不仅对一个零售商和一次罚款重要。强迫同意、支付或同意、捆绑同意，整个“同意所有内容否则无法使用服务”模型——无处不在，并且是数字经济中一个巨大部分的默认运作方式。它也是非法的，原因也同样简单——如果你不能拒绝而不失去你有权保留的东西，你就没有自由地同意任何事情。五年过去，涉案金额达到七位数，法律观点现在已在公开决定中供任何人阅读。 我不得不在一个维基中看到这一点 然而，这个故事中有一个我不愿意让步的部分，因为这本身就是一个小丑闻。我并不是从IMY得知这个决定的。我也不是从Datatilsynet得知的。我是从一个志愿者运行的维基GDPRhub得知的，几乎是在我提出投诉近五年后，随机一个星期四的早晨，而且在决定已经做出之后。根据GDPR第77(2)条，监管机构有法律义务及时向投诉人通报进展和结果。