CNIL nałożyła grzywnę administracyjną w wysokości 600 000 euro na spółkę ACCOR
19/08/2022
Francuski organ ochrony danych opublikował informację, że wydał w dniu 3 sierpnia 2022 r. decyzję nr SAN-2022-017, w której nałożył na spółkę Accor karę administracyjną w wysokości 600 000 euro, za naruszenie art. 12, 13, 15, 21 i 32 RODO.
CNIL i kilka innych europejskich organów ochrony danych otrzymało skargi dotyczące trudności napotykanych przez osoby fizyczne w dochodzeniu swoich praw we francuskiej grupie hotelowej ACCOR.
Badania przeprowadzone przez CNIL ujawniły, że gdy osoba fizyczna dokonała rezerwacji bezpośrednio z personelem hotelu lub na stronie internetowej jednej z marek hotelowych grupy ACCOR, automatycznie otrzymywała newsletter zawierający oferty handlowe od partnerów, jako skrzynka dotycząca zgody na otrzymywanie newslettera była domyślnie zaznaczona.
CNIL zauważył również, że anomalie techniczne, które powtarzały się przez kilka tygodni, uniemożliwiły znacznej liczbie osób skuteczne sprzeciwienie się otrzymywaniu wiadomości proszących.
Ponieważ przedmiotowe operacje przetwarzania są przeprowadzane w wielu krajach Unii Europejskiej, CNIL przedłożyła projekt decyzji zainteresowanym organom ochrony danych. Ponieważ jeden z tych organów nie zgodził się z projektem decyzji, sprawa została skierowana do Europejskiej Rady Ochrony Danych (EROD) w celu rozstrzygnięcia sporu. W wyniku tego postępowania EROD nakazała CNIL ponowne rozważenie kwoty grzywny i jej podwyższenie, tak aby zastosowany środek był bardziej odstraszający.
O przedmiotowej decyzji EROD pisaliśmy w odoserwis.pl - https://odoserwis.pl/a/1672/erod-europejska-rada-ochrony-danych-publikuje-w-dniu-17-sierpnia-2022-r-wiazaca-decyzje-art-65-ust-1-lit-a-dotyczaca-accor-sa
Ograniczona komisja (organ CNIL odpowiedzialny za nakładanie sankcji) nałożyła zatem na ACCOR grzywnę w wysokości 600 000 euro i postanowiła ją upublicznić.
CNIL w szczególności uwzględniła liczbę domniemanych naruszeń popełnionych przez spółkę, fakt, że naruszenia te dotyczyły kilku podstawowych zasad ochrony danych osobowych i stanowiły istotne naruszenie praw osób fizycznych, liczbę osób, których to dotyczy, oraz sytuację finansową Spółka.
CNIL stwierdził, że ACCOR naruszył francuskie prawo i RODO tj.:
- Niedopełnienie obowiązku uzyskania zgody osoby, której dane dotyczą, na przetwarzanie jej danych w celu przesyłania informacji handlowych (art. L. 34-5 francuskiego Kodeksu Poczty i Komunikacji Elektronicznej).
- Niedopełnienie obowiązku informowania osób fizycznych (art. 12 i 13 RODO): firma nie przekazała osobom, których dane dotyczą, niezbędnych informacji w przystępny sposób podczas zakładania konta klienta lub przystępując do programu lojalnościowego grupy ACCOR. Firma nie wspomniała również o zgodzie jako podstawie prawnej do dostarczania produktów lub usług stron trzecich.
- Brak poszanowania prawa dostępu osób fizycznych do ich danych (art. 12 i 15 RODO), ponieważ firma nie ustosunkowała się do próśb skarżącego w terminie.
- Brak poszanowania prawa do sprzeciwu (art. 12 i 21 RODO), ponieważ firma nie uwzględniła żądań skarżących o zaprzestanie wysyłania do nich wiadomości handlowych.
- Brak zapewnienia bezpieczeństwa danych osobowych (art. 32 RODO), ponieważ firma dopuściła stosowanie niewystarczająco silnych haseł. CNIL zarzuciła również firmie, że zaprosiła osobę do wysłania dokumentu tożsamości pocztą elektroniczną bez zaszyfrowania przedmiotowych danych.
Spółka zastosowała się do wszystkich naruszeń stwierdzonych w trakcie postępowania.