Sankcja CNIL wobec ACCOR: Bogata w lekcje decyzja dla urzędników ds. ochrony danych

Sankcja CNIL wobec Accor w wyroku z 3 sierpnia 2022 r. może zaskoczyć cię swoją surowością. Można to wyjaśnić po pierwsze pewną liczbą niedociągnięć zauważonych przez Komisję, ale także wpływem Europejskiego Mechanizmu Koordynacji, który został uruchomiony w sprawach obejmujących kilka krajów i powinien zwrócić uwagę Oświadczeń Urzędników Ochrony (DPD/DPO). ).

nagromadzone niedociągnięcia

Liczne skargi zostały skonfiskowane we Francji i innych krajach europejskich, gdzie CNIL, jako organ „główny akt” ze względu na lokalizację siedziby Accor we Francji, wszczął procedurę monitorowania.

Działanie to skłoniło CNIL do zidentyfikowania licznych naruszeń ogólnego rozporządzenia o ochronie danych (RODO) i ustawodawstwa francuskiego, dotyczących:

• Nie zbierać zgody na przetwarzanie danych w celach komercyjnych (art. L. 34-5 Kodeks pocztowy i komunikacja elektroniczna): Kiedy rezerwujesz pokój hotelowy, automatycznie subskrybujesz biuletyn firmy, pole zgody jest wstępnie wybierane przez domyślna. W ten sam sposób stworzenie przestrzeni klienta doprowadziło do automatycznej transmisji poszukiwań komercyjnych.

• Brak informacji dla osób przy zakładaniu konta klienta lub przystąpieniu do programu lojalnościowego: Formularz pozwalający na założenie konta klienta lub przystąpienie do programu lojalnościowego nie zawiera informacji wymaganych przez art. 12 i 13 RODO.

• nie wyrażać zgody jako podstawy prawnej przetwarzania, w celu promowania produktów lub usług osób trzecich;

Braki w poszanowaniu prawa osób do dostępu do danych na ich temat (art. 12 i 15 RODO): Krajowa Rada Ochrony Danych zauważyła, że ​​w jednym odosobnionym przypadku firma nie działała w terminie umożliwiającym spełnienie żądania.

Braki w poszanowaniu prawa do sprzeciwu osób, które nie chcą już otrzymywać komercyjnych wiadomości o eksploracji (artykuły 12 i 21 RODO): Narodowa Komisja Ochrony Danych (CNIL) zauważyła wadę w linkach do anulowania subskrypcji i synchronizacji plików, i możliwe jest, że uniemożliwiłoby to wielu osobom sprzeciwianie się otrzymywaniu wiadomości prospektywnych, co mogłoby mieć wpływ na kilka milionów osób.

• Niewystarczające bezpieczeństwo danych osobowych (art. 32 RODO): Krajowa Komisja Ochrony Danych (CNIL) zidentyfikowała kilka anomalii, takich jak niewystarczające hasła operacyjne. Zauważa jednak również, że jeśli konto zostanie zawieszone z powodu podejrzenia oszustwa związanego z logowaniem, klient musi przesłać pocztą elektroniczną kopię dokumentu tożsamości, bez szyfrowania danych.

Kara zaostrzona procedurami harmonizacyjnymi

W związku z aktami dotyczącymi osób z kilku krajów europejskich, CNIL musiała wszcząć procedury współpracy określone w Rozporządzeniu o Ochronie Danych Osobowych (RODO).

W trakcie tego postępowania polski organ nadzorczy sformułował zastrzeżenia, które były przedmiotem arbitrażu w ramach EIOD/EDPB (europejskiej grupy „CNILs”). W szczególności CNIL został skrytykowany za nieodpowiednie kary, biorąc pod uwagę odnotowane naruszenia i wielkość firmy.

Wiążąca decyzja EIOD/EROD skłoniła CNIL do zweryfikowania kwoty grzywny do ostatecznego poziomu 600 000 euro.

Przydatne lekcje dla urzędników ds. ochrony danych AFCDP po pierwsze zauważa, zgodnie z oczekiwaniami, że europejski mechanizm współpracy i harmonizacji skutkuje zwiększeniem kwoty sankcji uchwalanych przez CNIL za pośrednictwem przywództwa francuskiego organu, który często jest bardziej umiarkowany i pojednawczy. , aby zbliżyć się do historycznie „surowszych” uprawnień.

W decyzji zauważono również, że skarga, która prowadzi do kontroli, może skutkować karami za wykroczenia niezwiązane bezpośrednio z pierwotną skargą.

Rada Ochrony Praw Dziecka zwraca również uwagę, że Krajowa Rada Praw Człowieka przywiązuje dużą wagę do poszanowania praw jednostki (prawa do informacji, prawa dostępu, prawa sprzeciwu) oraz że nie waha się karać przypadków niezgodności. i poszanowania tych praw.

Wreszcie AFCDP zwraca uwagę DPO/DPO na znaczenie, jakie Komitet Krajowy przywiązuje do bezpieczeństwa przetwarzania. Przestrzega w szczególności przed wciąż powszechnie obserwowaną w organizacjach praktyką przesyłania dokumentów tożsamości drogą e-mailową bez szyfrowania, a także przed koniecznością uświadamiania działom operacyjnym zagrożeń, jakie ta praktyka niesie w zakresie bezpieczeństwa danych.