Accor jedna z największych grup hotelowych w Europie, właściciel takich marek jak Novotel, Mercure czy Ibis, znanych również w Polsce. Decyzją CNIL (Francuskiego Organu Nadzorczego) otrzymał karę w wysokości 600 000 euro za brak przestrzegania RODO. Jak wynika z treści decyzji, Accord odpowiada za:
- niezgodne z prawem przesyłanie informacji marketingowych poprzez domyślne ustawienie wyrażenia zgody na otrzymywanie biuletynu przy dokonywaniu rezerwacji, zakładaniu konta klienta lub zapisywaniu się do programu lojalnościowego,
- niewypełnianie obowiązku informacyjnego wynikającego z art. 13 RODO wobec osób przy zbieraniu danych osobowych, poprzez brak dostarczenia wszystkich wymaganych informacji o przetwarzaniu danych osobowych w tym informacji o zgodzie jako podstawy prawnej przetwarzania,
- niewypełnianie obowiązku poszanowania praw podmiotów danych w związku
z utrudnianiem realizacji prawa dostępu do danych (art. 15 RODO) oraz prawa do sprzeciwu (art. 21 RODO) w związku z utrudnianiem złożenia wniosku np. konieczność uwierzytelnienia osoby wnioskującej oraz przekroczenie terminu udzielenia odpowiedzi na złożony wniosek, - niewystarczające wdrożenie organizacyjnych i technicznych środków bezpieczeństwa przetwarzanych danych, obowiązku wynikającego z art. 32 RODO, za m.in. zastosowanie słabej kombinacji haseł dostępu do systemu przetwarzającego dane osobowe.
Udział innych organów nadzorczych
W prowadzonym postępowaniu w związku z faktem transgranicznego przetwarzania danych osobowych, czynny udział brały organy nadzorcze z innych krajów UE. Uczestniczył w tym również nasz Urząd Ochrony Danych Osobowych. Także warto zauważyć, że CNIL zaproponował 100 000 euro, a UODO powiedziało nie. Wynik, kilkukrotnie wyższa kara administracyjna, podzielona względem stwierdzonych naruszeń przepisów:
- 100 000 euro za naruszenie Kodeksu Poczty i Komunikacji Elektronicznej,
- 500 000 euro za naruszenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
Dodatkowo CNIL postanowił, że niniejszą decyzję opublikują na stronie CNIL oraz Légifrance. Przez okres dwóch lat z pełnymi danymi identyfikującymi ukarany podmiot.
Wniosek
W świetle uzasadnienia do decyzji możemy przeczytać, że opublikowanie jej na okres dwóch lat jest uzasadnione. Z uwagi na wielkość stwierdzonych naruszeń, ich wagę i liczbę osób, których dotyczyły. Wartość nałożonej kary jest uzasadniona względem obecnej sytuacji gospodarczej oraz ekonomicznej ukaranego podmiotu.
