Commission nationale de l’informatique et des libertés (CNIL), niezależny organ administracyjnym odpowiedzialny za ochronę danych osobowych we Francji, nałożyła na spółkę ACCOR grzywnę administracyjną w wysokości 600 000 euro, w szczególności za przeprowadzenie komercyjnego prospectingu bez zgody zainteresowanych osób fizycznych oraz za nieprzestrzeganie praw klientów.
CNIL i kilka innych europejskich organów ochrony danych otrzymały skargi dotyczące trudności, jakie osoby fizyczne napotykają w korzystaniu ze swoich praw w spółce ACCOR, francuskiej grupie hotelowej.
Dochodzenia przeprowadzone przez CNIL wykazały, że gdy osoba fizyczna dokonywała rezerwacji bezpośrednio u personelu hotelu lub na stronie internetowej jednej z marek hotelowych grupy ACCOR, otrzymywała automatycznie biuletyn zawierający oferty handlowe partnerów, ponieważ pole dotyczące zgody na otrzymywanie biuletynu było domyślnie zaznaczone.
CNIL zauważyła również, że nieprawidłowości techniczne, które powtarzały się przez kilka tygodni, uniemożliwiły znacznej liczbie osób skuteczne sprzeciwienie się otrzymywaniu wiadomości marketingowych.
Ponieważ przedmiotowe operacje przetwarzania danych przeprowadzane są w wielu krajach Unii Europejskiej, CNIL przekazała projekt decyzji zainteresowanym organom ochrony danych. Ponieważ jeden z tych organów nie zgodził się z projektem decyzji, sprawa została przekazana do Europejskiej Rady Ochrony Danych (EDPB) w celu wydania orzeczenia w sprawie sporu. W wyniku tego postępowania EDPB nakazała CNIL ponowne rozważenie kwoty grzywny i jej zwiększenie, tak aby zastosowany środek był bardziej odstraszający.
Skład ograniczony CNIL, po naradzie, postanowił:
- nałożyć na ACCOR SA grzywnę administracyjną w wysokości 600.000 euro za wszystkie stwierdzone naruszenia, które rozkładają się następująco:
- 100 000 (sto tysięcy) euro za naruszenie przez spółkę art. L. 34-5 francuskiego kodeksu poczty i komunikacji elektronicznej;
- 500.000 (pięćset tysięcy) euro za nieprzestrzeganie przez spółkę art. 12.1, 12.3, 13, 15.1, 21.2 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
- upublicznić swoją decyzję na stronie internetowej CNIL oraz na stronie internetowej Légifrance, która nie będzie już identyfikować przedsiębiorstwa z nazwą po upływie dwóch lat od jej publikacji.
CNIL wzięła pod uwagę przede wszystkim liczbę domniemanych naruszeń popełnionych przez przedsiębiorstwo, fakt, że naruszenia te dotyczyły kilku podstawowych zasad ochrony danych osobowych, oraz że stanowiły one istotne naruszenie praw osób fizycznych, liczbę zainteresowanych osób fizycznych oraz sytuację finansową przedsiębiorstwa.
Naruszenia objęte sankcjami
CNIL stwierdziła, że ACCOR narusza prawo francuskie i zaobserwowała cztery naruszenia GDPR, które zostały poddane współpracy europejskiej:
- Nieprzestrzeganie obowiązku uzyskania zgody osoby, której dane dotyczą, na przetwarzanie jej danych w celach komercyjnych (art. L. 34-5 francuskiego kodeksu poczty i komunikacji elektronicznej).
- Niedopełnienie obowiązku informowania osób fizycznych (art. 12 i 13 GDPR): firma nie przekazała osobom, których dane dotyczą, niezbędnych informacji w przystępny sposób podczas zakładania konta klienta lub przystępowania do programu lojalnościowego grupy ACCOR. Firma nie wymieniła również zgody jako podstawy prawnej do prospectingu w celu promowania produktów lub usług stron trzecich.
- Nieprzestrzeganie prawa dostępu osób fizycznych do ich danych (art. 12 i 15 GDPR), ponieważ firma nie odpowiedziała w terminie na wnioski skarżącego.
Nieprzestrzeganie prawa do sprzeciwu (art. 12 i 21 GDPR), ponieważ spółka nie uwzględniła wniosków skarżących, aby nie wysyłać do nich więcej wiadomości handlowych o charakterze prospektywnym, ze względu na usterki. - Brak zapewnienia bezpieczeństwa danych osobowych (art. 32 GDPR), ponieważ firma zezwoliła na stosowanie niewystarczająco silnych haseł. CNIL zarzuciła również firmie, że zaprosiła osobę do przesłania dokumentu tożsamości pocztą elektroniczną, przy czym dane te nie zostały zaszyfrowane.
Pełną treść projektu raportu CNIL zawierającego 100 punktów uzasadniających decyzję można znaleźć pod poniższym linkiem: ACCOR
Poprosiliśmy o komentarz przedstawicieli polskiego oddziału Accor, gdy tylko otrzymamy odpowiedź przedstawimy ją w osobnym tekście.
