Nowa kara RODO – dla francuskiej grupy hotelowej Accor. CNIL nałożył karę w wysokości 600 tys. euro na właściciela jednej z największych sieci hotelowych, zarządzającego takimi markami jak Novotel, Grand Mercure, Sofitel czy Ibis.
Czego dotyczy sprawa?
CNIL oraz inne europejskie organy nadzorcze otrzymały skargi na działania grupy Accor. Dotyczyły one problemu otrzymywania newslettera zawierającego oferty handlowe od partnerów spółki. Sytuacja miała miejsce w przypadku dokonywania rezerwacji przez Internet oraz bezpośrednio u personelu hotelowego.
Sprawdź jak wdrożyć RODO w twojej organizacji
Co zostało ustalone
Na podstawie przeprowadzonego postępowania ustalono, że osoby, które dokonywały rezerwacji bezpośrednio w Accor lub jednej z marek należących do jej grupy automatycznie dodawane są do listy odbiorców newslettera zawierającego oferty handlowe. Działo się tak dlatego, że pole wskazujące na wyrażenie zgody było zaznaczone automatycznie.
Dodatkowo, CNIL ustalił, że pojawiały się także problemy techniczne uniemożliwiające osobom fizycznym skorzystanie z ich prawa do sprzeciwu w przypadku otrzymywania marketingu bezpośredniego.
Stwierdzono, że firma Accor nie uzyskała zgód osób, których dane dotyczą, na przetwarzanie danych osobowych w celach marketingu bezpośredniego, zgodnie z przepisami francuskiego kodeksu poczty i komunikacji elektronicznej. Ponadto, grupa nie przestrzegała przepisów art. 12 i 13 RODO, nie udzielała bowiem osobom, których dane dotyczą, niezbędnych informacji przy zakładaniu konta klienta.
Kolejny zarzut skupił się na licznych brakach odpowiedzi na żądania dostępu do danych osób, których dane dotyczą, w wymaganych terminach, z naruszeniem art. 12 i 15, a także na nierespektowaniu żądań dotyczących wniesienia sprzeciwu wobec marketingu bezpośredniego, co określono jako naruszenie art. 12 i 21 RODO.
Postępowanie transgraniczne
Na uwagę zasługuje także ciekawy przebieg postępowania, które miało wymiar transgraniczny. Spółka Accor posiada bowiem sieć hoteli w wielu krajach, natomiast główna siedziba przedsiębiorstwa znajduje się we Francji. Postępowanie zatem toczyło się przed francuskim organem nadzorczym, zgodnie z artykułem 56 ust. 1 RODO, który stanowi, że „organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy”. We wstępnej decyzji nałożył on karę w wysokości 100 tys. euro.
Ze względu na wspomniany już wcześniej transgraniczny charakter sprawy, projekt decyzji przygotowany przez CNIL został przedłożony zainteresowanym organom nadzorczym zgodnie z przepisami Rozporządzenia. Na podstawie art. 60 ust. 4 RODO, wobec projektu decyzji został wniesiony sprzeciw przez polski organ nadzorczy. Prezes Urzędu Ochrony Danych Osobowych wskazał, że zaproponowana kwota kary administracyjnej, która w projekcie wynosiła 100 000 euro, jest zbyt niska, bowiem nie byłaby skuteczna, proporcjonalna i odstraszająca. Ponadto, należy wziąć pod uwagę dużą skalę naruszenia.
Z takim stanowiskiem nie zgodził się administrator.
W wyniku zaistniałej sytuacji, zgodnie z 70 ust. 1 lit. t) RODO, Europejska Rada Ochrony Danych przyjęła wiążącą decyzję w tej sprawie, wskazując m.in., że wymierzona przez CNIL grzywna nie spełniała funkcji odstraszającej, dlatego należy ponownie ocenić elementy, na których podstawie obliczono wysokość kary.
Kara RODO dla Accor
W związku z powyższym francuski organ nadzorczy wymierzył karę w wysokości 600 tys. euro wskazując jednocześnie, że 100 tys. euro związane jest z naruszeniem przepisów francuskiego kodeksu poczty i komunikacji elektronicznej, natomiast pozostałe 500 000 euro dotyczy naruszenia szeregu przepisów Rozporządzenia RODO- art. 12 ust.1 RODO, 12 ust. 3 RODO, art. 13 RODO, art.15 ust. 1 RODO, art. 21 ust. 2 RODO i art. 32 RODO.
Kara odnosi się przede wszystkim do znanego już stanowiska mówiącego o tym, że domyślne zaznaczenie pola dotyczącego zgody na otrzymywanie newslettera nie może być uznane za ważnie wyrażoną przez użytkownika zgodę. Takie działanie jest także niezgodne z określoną w Rozporządzeniu RODO zasadą privacy by default.
Przeczytaj również: bezpieczeństwo danych w firmie