Nakon obvezujuće odluke EDPB-a u skladu s člankom 65. stavkom 1. točkom (a) GDPR-a, francuski nadzorno tijelo (CNIL) povećalo je kaznu hotelima Accor sa 100.000 € na 600.000 €, za izravni marketing bez valjanog pristanka, nepoštivanje prava svojih kupaca prema GDPR-u i korištenje slabih lozinka, kršeći članak 12. , 13. , 15. , 21. i 32. GDPR.
Accor je veliki multinacionalni lanac koji upravlja hotelima u 110 zemalja. Između prosinca 2018. i rujna 2019. CNIL primio je nekoliko pritužbi u vezi s različitim potencijalnim kršenjima GDPR-a od strane Accor-a kao voditelja obrade.
Dana 24. veljače 2020. CNIL je proveo istragu web stranice Accor-a. Ispitanici su, kod registracije računa, davali svoje podatke za kontakt uključujući i adresu e-pošte. Proces registracije sadržavao je unaprijed označeni okvir koji označava privolu za primanje promotivnih materijala, te su ih ispitanici naknadno počeli primati. Nisu mogli otkazati pretplatu na e-poštu izravnog marketinga jer su razni tehnički problemi spriječili rad gumba “odjava” e-pošte. Radi se o milijunima ljudi koji su primili takve e-mailove. Osim toga, web stranica nije pružila ispitanicima informacije o kontaktnim podacima voditelja obrade, svrsi obrade prikupljenih podataka, pravnoj osnovi za obradu, razdoblju u kojem će se podaci čuvati, mogućim prijenosima ili pravu na podnošenje pritužbe prema GDPR-u, te nije postojala ni poveznica na politiku privatnosti koja bi mogla sadržavati te podatke.
Deset drugih nadzornih tijela proglasilo se nadležnim za istragu, a CNIL je također obaviješten o pet dodatnih pritužbi od strane nadzornih tijela Saarlanda, Španjolske, Irske, Poljske i Donje Saske. No, utvrđeno je da je glavno sjedište voditelja obrade u Francuskoj, gdje se nalazi više od polovice njegovih hotela. S obzirom na navedeno, CNIL je vodeće nadzorno tijelo prema članku 56. stavku 1. GDPR-a.
CNIL je utvrdio da je voditelj obrade počinio “znatnu” povredu prava ispitanika:
- upotrebom unaprijed označenog okvira koji označava pristanak za primanje izravnih marketinških e-mailova, voditelj obrade nije osigurao “slobodan, specifičan i informiran” izraz pristanka ispitanika prije slanja takvog marketinga kršeći francusku provedbu Direktive o privatnosti i elektroničkim komunikacijama (članak L34- 5 CPCE),
- kršenjem članka 12. i 13. GDPR-a jer nije pružio informacije o detaljima obrade, čak ni poveznicu na politiku privatnosti s takvim informacijama kada je prikupljao osobne podatke ispitanika,
- kršenjem članka 12. i 15. jer nije odgovorio na zahtjeve ispitanika u roku od mjesec dana od primitka tih zahtjeva,
- kršenjem članka 12. i 21. jer nije uklonio podatke ispitanika koji su se odjavili s njegove „mailing“ liste
- kršenjem članka 32. „zaštitivši“ ogromnu količinu osobnih podataka lozinkom od osam znakova sa samo dvije različite vrste znakova, čime nije osigurana dovoljno jaka lozinka.
Olakotne okolnosti, koje je CNIL uzeo u obzir, pri utvrđivanju kazne jesu sljedeće:
- Accor je pretrpio pad prometa od 54% od 2019. do 2020. kao rezultat pandemije COVID 19,
- također, u potpunosti je surađivao s CNIL-om, ispravljajući povrede tijekom istrage.
Te je iz tih razloga CNIL-a smatrao da je kazna od 100.000€ dostatna.
Međutim, poljsko nadzorno tijelo (UODO) usprotivio se nacrtu odluke CNIL-a, tvrdeći da je iznos kazne, koji je iznosio otprilike 0,02% procijenjenog prometa Accor-a u 2020., bio prenizak da bi učinkovito odvratio druge voditelje obrade od sličnih prekršaja. UODO je tražio dodatne informacije o prometu Accor-a koji je uključen u nacrt odluke, bez čega nije bilo dostatne osnove za izračun kazne. Tvrdio je da, s obzirom na razmjernost, nacrt odluke ne pruža dokaze da bi viša novčana kazna nepovratno ugrozila održivost Accor-a.
CNIL nije proveo predložene izmjene UODO-a, vjerujući da je predložena kazna učinkovita, razmjerna i odvraćajuća prema članku 83. stavku 1. GDPR -a, pa je EDPB donio obvezujuću odluku u skladu s člankom 65. GDPR-a. EDPB je uputio CNIL da uzme u obzir samo najnoviji promet Accor-a bez uzimanja u obzir pada između 2019. i 2020. uzrokovanog pandemijom COVID-19. Osim toga, utvrdio je da, budući da je sam CNIL prekršaje Accor-a nazvao “značajnim”, novčana kazna koja predstavlja 0,02% procijenjenog prometa nije bila odvraćajuća. Nedostatak odvraćajuće novčane kazne predstavljao je rizike za prava i slobode ispitanika te je sukladno tome EDPB uputio CNIL da ponovno procijeni predloženu novčanu kaznu, posebno uzimajući u obzir relevantni promet.
Nakon odluke EDPB-a, CNIL je revidirao svoju početnu brojku i na kraju kaznio Accor (voditelja obrade) sa 600.000 eura.