menu
Blog

Francusko nadzorno tijelo povećalo je kaznu hotelima Accor sa 100.000 € na 600.000 €

Francusko nadzorno tijelo povećalo je kaznu hotelima Accor sa 100.000 € na 600.000 €

Nakon obvezujuće odluke EDPB-a u skladu s člankom 65. stavkom 1. točkom (a) GDPR-a, francuski nadzorno tijelo (CNIL) povećalo je kaznu hotelima Accor sa 100.000 € na 600.000 €, za izravni marketing bez valjanog pristanka, nepoštivanje prava svojih kupaca prema GDPR-u i korištenje slabih lozinka, kršeći članak 12. , 13. , 15. , 21. i 32. GDPR.

Accor je veliki multinacionalni lanac koji upravlja hotelima u 110 zemalja. Između prosinca 2018. i rujna 2019. CNIL primio je nekoliko pritužbi u vezi s različitim potencijalnim kršenjima GDPR-a od strane Accor-a kao voditelja obrade.

Dana 24. veljače 2020. CNIL je proveo istragu web stranice Accor-a. Ispitanici su, kod registracije računa, davali svoje podatke za kontakt uključujući i adresu e-pošte. Proces registracije sadržavao je unaprijed označeni okvir koji označava privolu za primanje promotivnih materijala, te su ih ispitanici naknadno počeli primati. Nisu mogli otkazati pretplatu na e-poštu izravnog marketinga jer su razni tehnički problemi spriječili rad gumba “odjava” e-pošte. Radi se o milijunima ljudi koji su primili takve e-mailove. Osim toga, web stranica nije pružila ispitanicima informacije o kontaktnim podacima voditelja obrade, svrsi obrade prikupljenih podataka, pravnoj osnovi za obradu, razdoblju u kojem će se podaci čuvati, mogućim prijenosima ili pravu na podnošenje pritužbe prema GDPR-u, te nije postojala ni poveznica na politiku privatnosti koja bi mogla sadržavati te podatke.

Deset drugih nadzornih tijela proglasilo se nadležnim za istragu, a CNIL je također obaviješten o pet dodatnih pritužbi od strane nadzornih tijela Saarlanda, Španjolske, Irske, Poljske i Donje Saske. No, utvrđeno je da je glavno sjedište voditelja obrade u Francuskoj, gdje se nalazi više od polovice njegovih hotela. S obzirom na navedeno, CNIL je  vodeće nadzorno tijelo prema članku 56. stavku 1. GDPR-a.

CNIL je utvrdio da je voditelj obrade počinio “znatnu” povredu prava ispitanika:

  1. upotrebom unaprijed označenog okvira koji označava pristanak za primanje izravnih marketinških e-mailova, voditelj obrade nije osigurao “slobodan, specifičan i informiran” izraz pristanka ispitanika prije slanja takvog marketinga kršeći francusku provedbu Direktive o privatnosti i elektroničkim komunikacijama (članak L34- 5 CPCE),
  2. kršenjem članka 12. i 13. GDPR-a jer nije pružio informacije o detaljima obrade, čak ni poveznicu na politiku privatnosti s takvim informacijama kada je prikupljao osobne podatke ispitanika,
  3. kršenjem članka 12. i 15. jer nije odgovorio na zahtjeve ispitanika u roku od mjesec dana od primitka tih zahtjeva,
  4. kršenjem članka 12. i 21. jer nije uklonio podatke ispitanika koji su se odjavili s njegove „mailing“ liste
  5. kršenjem članka 32. „zaštitivši“ ogromnu količinu osobnih podataka lozinkom od osam znakova sa samo dvije različite vrste znakova, čime nije osigurana dovoljno jaka lozinka.

Olakotne okolnosti, koje je CNIL uzeo u obzir, pri utvrđivanju kazne jesu sljedeće:

  1. Accor je pretrpio pad prometa od 54% od 2019. do 2020. kao rezultat pandemije COVID 19,
  2. također, u potpunosti je surađivao s CNIL-om, ispravljajući povrede tijekom istrage.

Te je iz tih razloga CNIL-a smatrao da je kazna od 100.000€ dostatna.

Međutim, poljsko nadzorno tijelo (UODO) usprotivio se nacrtu odluke CNIL-a, tvrdeći da je iznos kazne, koji je iznosio otprilike 0,02% procijenjenog prometa Accor-a u 2020., bio prenizak da bi učinkovito odvratio druge voditelje obrade od sličnih prekršaja. UODO je tražio dodatne informacije o prometu Accor-a koji je uključen u nacrt odluke, bez čega nije bilo dostatne osnove za izračun kazne. Tvrdio je da, s obzirom na razmjernost, nacrt odluke ne pruža dokaze da bi viša novčana kazna nepovratno ugrozila održivost Accor-a.

CNIL nije proveo predložene izmjene UODO-a, vjerujući da je predložena kazna učinkovita, razmjerna i odvraćajuća prema članku 83. stavku 1. GDPR -a, pa je EDPB donio obvezujuću odluku u skladu s člankom 65. GDPR-a. EDPB je uputio CNIL da uzme u obzir samo najnoviji promet Accor-a bez uzimanja u obzir pada između 2019. i 2020. uzrokovanog pandemijom COVID-19. Osim toga, utvrdio je da, budući da je sam CNIL prekršaje Accor-a nazvao “značajnim”, novčana kazna koja predstavlja 0,02% procijenjenog prometa nije bila odvraćajuća. Nedostatak odvraćajuće novčane kazne predstavljao je rizike za prava i slobode ispitanika te je sukladno tome EDPB uputio CNIL da ponovno procijeni predloženu novčanu kaznu, posebno uzimajući u obzir relevantni promet.

 Nakon odluke EDPB-a, CNIL je revidirao svoju početnu brojku i na kraju kaznio Accor (voditelja obrade) sa 600.000 eura.

Ostale

Novosti

Pridružite se našoj email listi

Prvi saznajte za promjene i nova mišljenja nadzornih tijela i inspekcije, čitajte o presudama Suda EU i nacionalnih sudova, drugim novostima i primjerima iz prakse te uživajte u specijalnim ponudama namijenjenim samo našim pretplatnicima.