• Commission nationale de l’informatique et des libertés (CNIL) powołana do ochrony danych osobowych we Francji ukarała Accor grzywną.
  • Sieć została ukarana za nieprawidłowo skonstruowane formularze rejestracyjne, domyślnie zezwalające na przesyłanie biuletynu z ofertami partnerów handlowych hoteli.
  • Mimo zgłoszeń klientów, firma nie reagowała na zgłoszenia klientów, niewłaściwie przetwarzając ich dane osobowe i narażając ich na spam.

Accor we Francji został ukarany grzywną administracyjną w wysokości 600 000 euro. Jak informuje portal Horecabc.pl, kara została nałożona za nielegalnie prowadzony proces poszukiwania nowych klientów. 

Spółka poszerzała swoje bazy klienckie i zasilała je informacjami o zachowaniach nowych, potencjalnych klientów.

Próbując personalizować swoją ofertę sprzedaży, Accor gromadził informacje o potencjalnych klientach bez zgody zainteresowanych osób fizycznych, nie przestrzegając praw swoich klientów.

Europejskie organy ochrony danych osobowych otrzymały wiele skarg, dotyczących trudności, jakich doświadczają osoby fizyczne w kontakcie z francuską grupą hotelową Accor.

Audyty przeprowadzone przez organy chroniące dane osobowe w UE wykazały, że w  chwili, gdy osoby fizyczne dokonywały rezerwacji  w jednej z marek grupy, automatycznie otrzymywały biuletyn z ofertami handlowymi partnerów tej sieci.

Wysyłka ofert handlowych była konsekwencją faktu, że w kwestionariuszach rezerwacyjnych pole zgody na otrzymywanie biuletynu było z góry domyślnie zaznaczone na 'tak'.

Niechciany spam reklamowy

Zdaniem ukaranego za niezgodne z prawem praktyki Accoru, to długotrwałe usterki techniczne systemu nie pozwoliły znaczącej liczbie klientów na rezygnację z przymusowego otrzymywania wiadomości marketingowych.

CNIL poinformowała o zaistniałej sytuacji stosowne organy ochrony danych osobowych UE.

Jeden z nich nie zgodził się z wstępnym projektem decyzji ukarania sieci, a sprawa została przekazana do Europejskiej Rady Ochrony Danych (EDPB), w celu wydania stosownego orzeczenia i rozwiązania toczącego się sporu.

EDPB nakazała CNIL ponowne rozważenie sprawy i zwiększenie kwoty grzywny tak, aby kara była rzeczywiście odstraszająca.

Po ponownej naradzie CNIL zadecydowała nałożyć na Accor SA grzywnę administracyjną w wysokości 600.000 euro, jako karę  łączną, w tym:

  • 100 tys. euro za naruszenie przez spółkę art. L. 34-5 francuskiego kodeksu poczty i komunikacji elektronicznej;
  • 500 tys. euro za nieprzestrzeganie przez spółkę art. 12.1, 12.3, 13, 15.1, 21.2 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
  • opublikować decyzję na stronie internetowej CNIL i na stronie internetowej Légifrance - z zastrzeżeniem, że decyzja ta nie będzie identyfikować przedsiębiorstwa z nazwą po upływie dwóch lat od publikacji decyzji.

Wysokość kary uzasadniono liczbą domniemanych naruszeń popełnionych przez przedsiębiorstwo i faktem, że dotyczyły one podstawowych zasad ochrony danych osobowych.

Powagi sprawie dodał fakt, że wszystkie naruszenia spółki były istotne z punktu widzenia poszanowania praw osób fizycznych, a liczba poszkodowanych osób fizycznych była duża.

Naruszenia, które wywołały sankcje:

CNIL stwierdziła, że naruszając prawo francuskie Accor podważa cztery zasady francuskiego Rozporządzenia o Ochronie Danych Osobowych (GDPR):

  • Łamie obowiązek uzyskania zgody na przetwarzanie danych osobowych osób fizycznych w celach komercyjnych, co jest złamaniem art. L. 34-5 francuskiego kodeksu poczty i komunikacji elektronicznej.
  • Nie spełnia obowiązku informowania osób fizycznych podczas zakładania konta klienta i przystępowania do programu lojalnościowego grupy Accor.
    Accor nie uzyskał także wymaganych prawem zgód, będących podstawą prawną do prowadzenia prospectingu, w celu promowania produktów lub usług stron trzecich, co jest złamaniem art. 12 i 13 GDPR.
  • Łamie prawa dostępu osób fizycznych do ich danych, co jest złamaniem art. 12 i 15 GDPR. 
    Nie przestrzega prawa do sprzeciwu klientów, co jest złamaniem art. 12 i 21 GDPR. Spółka nie uwzględniała wniosków o zaprzestanie wysyłania wiadomości handlowych, zasłaniając się błędami technicznymi systemów rezerwacyjnych.
  • Nie dopełnia zapewnienia bezpieczeństwa danych osobowych, co łamie art. 32 GDPR.  Formularze rezerwacyjne Accor nie wymagały stosowania silnych haseł. Accor zachęcał również osoby fizyczne do przesyłania dokumentów identyfikacyjnych  drogą elektroniczną, bez szyfrowania plików.

Hotel, pensjonat, ośrodek wypoczynkowy - szukasz ciekawych ofert inwestycyjnych? Sprawdź PropertyStock.pl