Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt hotellkedjan Accor SA med 600 000 euro för överträdelser av dataskyddsförordningen (GDPR) och den franska lagen om post och elektronisk kommunikation (CPCE).
Av beslutet framgår att CNIL och flera andra europeiska dataskyddsmyndigheter tagit emot klagomål om svårigheter för enskilda att utöva sina rättigheter hos Accor. CNIL:s kontroller visade att när en person gjorde en bokning direkt hos personalen på ett hotell eller på webbplatsen för ett av Accor-gruppens hotellvarumärken fick personen automatiskt ett nyhetsbrev med kommersiella erbjudanden från samarbetspartners, och rutan för att lämna ett samtycke till att ta emot nyhetsbrev var förvald som standard. CNIL noterade också att tekniska avvikelser, som återkom under flera veckor, hindrade ett stort antal personer från att effektivt motsätta sig att ta emot kommersiella erbjudanden.
I sitt beslut konstaterade CNIL att Accor inte följt den franska lagstiftningen eller reglerna i dataskyddsförordningen. Enligt CNIL har Accor inte:
- Inhämtat den registrerades samtycke för att behandla personens uppgifter i kommersiellt prospekterande syfte enligt artikel L. 34-5 CPCE.
- Uppfyllt informationsskyldigheten enligt artiklarna 12 och 13 GDPR då företaget inte gett de registrerade nödvändig informationen på ett lättillgängligt sätt när de skapade ett kundkonto eller när de anslöt sig till ACCOR-gruppens lojalitetsprogram.
- Uppgett att företaget använde ett samtycke som rättslig grund för behandling av personuppgifter för att marknadsföra tredje parts produkter eller tjänster.
- Respekterat registrerades rätt till tillgång till sina uppgifter enligt artiklarna 12 och 15 GDPR då företaget inte svarat i tid på en registrerades begäran.
- Respekterat registrerades rätt att göra invändningar enligt artiklarna 12 och 21 GDPR då företaget inte tagit hänsyn till de registrerades begäran om att inte längre skicka kommersiella prospekteringsmeddelanden till dem på grund av tekniska störningar.
- Vidtagit lämpliga säkerhetsåtgärder enligt artikel 32 GDPR då företaget tillät användning av otillräckligt starka lösenord.
CNIL kritiserade också Accor då företaget uppmanat en registrerad att skicka sin identitetshandling via e-post utan att uppgifterna i fråga var krypterade.
Mot denna bakgrund ålade CNIL:s organ som ansvarar för att införa sanktionsavgifter Accor böter på 600 000 euro, vilket också offentliggjordes på myndighetens webbplats. CNIL tog bland annat hänsyn till det antal överträdelser som Accor anklagats för, det faktum att dessa överträdelser rör flera grundläggande principer för skydd av personuppgifter och att de utgör en väsentlig kränkning av enskildas rättigheter, samt till antalet berörda personer och företagets ekonomiska situation.
Eftersom behandlingen i fråga pågått i många EU-länder la CNIL fram ett utkast till beslut för de berörda dataskyddsmyndigheterna. Då en av dessa myndigheter inte delade CNIL bedömning hänvisades ärendet till Europeiska datatillsynsmannen (EDPS) för ett beslut i frågan. Som ett resultat av detta förfarande beordrade EDPS CNIL att ompröva bötesbeloppet och höja det så att den vidtagna åtgärden skulle bli mer avskräckande.