Decyzja CNIL – kara 600 000 euro za brak przejrzystości

Kilka dni temu francuski organ nadzorczy CNIL przeprowadził wewnętrzne obrady, które zakończyły postępowanie administracyjne w sprawie naruszenia przepisów RODO przez globalną sieć hoteli Accor S.A. Postępowanie to toczyło się od 2021 r. i miało bardzo ciekawy przebieg – pod jego koniec zabrał głos nie tylko polski organ nadzorczy, ale także Europejska Radach Ochrony Danych.

Sprawa miała swój początek w skargach kilkunastu osób korzystających z hoteli nie tylko na terenie Francji, ale także innych krajów UE. Skargi te dotyczyły m.  in. kwestii „automatycznego” zapisu do newsletteru – dochodzenia przeprowadzone przez CNIL wykazały, że gdy dana osoba dokonywała rezerwacji pokoju hotelowego bezpośrednio u personelu hotelu należącego do jednej z marek hotelowych grupy ACCOR (na miejscu lub telefonicznie) lub na stronie internetowej jednej z marek hotelowych grupy (Ibis, Novotel, Mercure, Fairmont, Sofitel, Adagio itd.), otrzymywała od spółki wiadomości e-mail zawierające biuletyn “All – Accor Live Limitless”.

Francuski organ nadzorczy ustalił także, że główna siedziba przedsiębiorstwa znajduje się we Francji i to właśnie ten organ jest właściwy do działania – jako główny organ nadzorczy w odniesieniu do transgranicznego przetwarzania danych dokonywanego przez to przedsiębiorstwo mimo tego, że hotele grupy Accor znajdują się w 110 krajach świata, ale ponad połowa prowadzonych przy Accor hoteli znajduje się we Francji. Takie transgraniczne postępowanie toczy się według pewnych zasad, a jego istotnym elementem jest właściwość wiodącego organu nadzorczego, o której mowa jest w art. 56 ust. 1 RODO:

Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.

Tylko w Judykatura.pl dostępna jest polska wersja językowa decyzjiCNIL, w której organ uznał, że:

– nie uzyskano w sposób ważny zgody odbiorców e-maili spółki zawierających newsletter “All – Accor Live Limitless”. W tym względzie zauważa w szczególności, że oferty handlowe i promocyjne w newsletterze “All – Accor Live Limitless” nie dotyczą wyłącznie usług świadczonych przez spółkę, ale także usług spółek “partnerskich” – takich jak np. linie lotnicze czy spółki zarządzające parkingami;

– wysyłane przez spółkę wiadomości handlowe o charakterze prospektowym nie odnoszą się wyłącznie do podobnych produktów lub usług świadczonych przez tę spółkę, które mogą zawierać np. oferty promocyjne od partnerów, takich jak linie lotnicze czy firmy zarządzające parkingami;

– przedsiębiorstwo było zobowiązane do uzyskania uprzedniej, wolnej, konkretnej i świadomej zgody osób fizycznych na otrzymywanie wiadomości z zakresu marketingu bezpośredniego pocztą elektroniczną, zgodnie z art. L. 34-5 ust. 1 CPCE (francuskiego kodeksu poczty i komunikacji elektronicznej), co w tym przypadku nie było możliwe ze względu na istnienie domyślnie zaznaczonego pola dotyczącego zgody na otrzymywanie newslettera. Panel ograniczony przypomina, że w wyroku Planet49 z 1 października 2019 roku (sprawa C – 673/17) Trybunał Sprawiedliwości Unii Europejskiej wskazał, że zgoda zebrana za pomocą wcześniej zaznaczonego pola nie może być uznana za ważnie wyrażoną przez użytkownika;

–  że w momencie tworzenia strefy klienta spółka nie uzyskała zgody osób fizycznych na przetwarzanie ich danych osobowych w celu prowadzenia poszukiwań handlowych drogą elektroniczną. Stwierdzono bowiem, że dane osobowe wykorzystywane przez spółkę do celów komercyjnego prospectingu mogły być gromadzone z formularza tworzenia strefy klienta, niezależnie od rezerwacji, na którym znajdowało się domyślnie “wstępnie zaznaczone” pole dotyczące zgody na otrzymywanie komercyjnego prospectingu;

– na wysokość kary miało wpływ też szczególnie duża liczba osób, których dotyczą te naruszenia, biorąc pod uwagę, że w 2019 roku […] miliony osób otrzymało co najmniej jeden z biuletynów grupy ACCOR (anonimizacja liczby wysłanych wiadomości e-mail jest czymś czego nie zrozumiem – przypis PL).

W omawianej decyzji organ francuski orzekł karę administracyjną w wysokości 600 000 euro ze wskazanie, że kara 100 000 euro dotyczy naruszenie przepisów francuskiego kodeksu poczty i komunikacji elektronicznej (zwanego dalej “CPCE”) tj. art. L. 34-5 CPCE, a kwota 500 000 euro dotyczy naruszenie przez spółkę przepisów art. 12 ust.1 RODO, 12 ust. 3 RODO, art. 13 RODO, art.15 ust. 1 RODO, art. 21 ust. 2 RODO i art. 32 RODO.

Jednak wstępna decyzja francuskiego organu ochrony w zakresie wysokości administracyjnej kary pieniężnej, nie była tak stanowcza i została wyznaczona na kwotę 100 000 euro. Właśnie w tym zakresie interweniował polski organ nadzorczy. Prezes Urzędu Ochrony Danych Osobowych, w maju 2021 r., wniósł sprzeciw wobec projektu decyzji. Takie działanie przewiduje art. 60 ust. 4 RODO:

Jeżeli w terminie czterech tygodni od otrzymania wniosku o opinię zgodnie z ust. 3 niniejszego artykułu inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy – jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony –przekazuje sprawę w ramach mechanizmu spójności, o którym mowa w art. 63.

Prezes UODO wskazał, że:

– zaproponowana przez wiodący organ nadzorczy kwota kary administracyjnej jest zbyt niska dla administratora danych takiego jak ACCOR oraz że kara nie byłaby skuteczna, proporcjonalna i odstraszająca, jak wymaga tego art. 83 ust. 1 RODO;

– projekt decyzji powinien zostać odpowiednio zmieniony i należy zaproponować wyższą karę finansową za naruszenia stwierdzone w niniejszej sprawie, tak aby kara spełniała warunki proporcjonalnego, skutecznego i odstraszającego środka”;

– odwołuje się do następujących czynników z art. 83 ust. 2 lit. a GDPR, które powinny być brane pod uwagę przy ocenie wagi: “charakter, zakres lub cel przetwarzania, a także liczbę osób, których dane dotyczą, oraz poziom poniesionej przez nie szkody” – w tym zakresie polski organ stwierdza, że naruszone przepisy oraz transgraniczny charakter przetwarzania wskazują, że naruszenie ma dużą wagę i dlatego proponowana grzywna powinna być wyższa;

– w projekcie decyzji należy zawrzeć dodatkowe informacje dotyczące obrotu spółki ACCOR – obrót spółki nie został podany w projekcie decyzji, a informacje w nim zawarte “są niewystarczające do obliczenia wysokości proponowanej kary”, ponieważ roczny obrót kontrolera “może stanowić podstawę do obliczenia kary”.

– biorąc pod uwagę przychody [ACCOR] wynoszące 1.621.000.000 EUR w 2020 r. jest bardzo mało prawdopodobne, aby wypłacalność ACCOR była zagrożona karą nawet kilkakrotnie wyższą, pomimo strat odnotowanych podczas pandemii Covid- 19;

Z takimi argumentami nie zgodził się administrator danych i wskazał, że kwota grzywny wskazana przez Prezesa UODO jako przychód jest niezgodna ze stanem faktyczny, gdyż jego obrót, w 2020 roku, wyniósł 531 000 000 euro, a nie 1 621 000 000 euro. Także nie zgodził się ze stanowiskiem Prezesa UODO francuski organ nadzorczy skierował sprawę do rozstrzygnięcia przedmiotowego sporu i wydania wiążącej decyzji przez Europejską Radę Ochrony Danych.

Powyższa procedura przewidziana jest w art. 65 ust. 1 lit. a RODO:

Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje: a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony.

W czerwcu 2022 r. Europejska Rada Ochrony Danych przyjęła wiążącą decyzję 01/2022, której polska wersja językowa dostępna jest tylko w serwisie Judykatura.pl,  w sprawie sporu dotyczącego projektu decyzji francuskiego organu nadzoru w sprawie Accor SA na mocy art. 65 ust. 1 lit. a) RODO. EROD skrupulatnie opisał zakres zgłoszonych, przez polski organ nadzorczy, zastrzeżeń do francuskiego projektu decyzji. Przedstawiono także argumenty CNIL przemawiające za taką, a nie inną wysokością administracyjnej kary pieniężnej tj. potrzebę uwzględnienia wpływu kryzysu branży hotelarskiej spowodowanego pandemią Covid-19 jako czynnik łagodzący (art. 83 ust. 2 lit. k RODO).

Po dokonaniu obrad i głosowaniu EROD wydał na podstawie art. 70 ust. 1 lit. t) RODO wiążącą decyzję. Organ ten postanawia, że sprzeciw polskiego organu nadzorczego, który kwestionuje wysokość grzywny nałożonej przez francuski organ nadzorczy, w projekcie decyzji, spełnia wymogi art. 4 ust. 24 RODO w odniesieniu do twierdzeń polskiego organu, że w projekcie decyzji:

– brakuje informacji na temat obrotu (administratora danych – przypis P.L.) istotnego dla ustalenia wysokości grzywny

– w zakresie proporcjonalności grzywny francuski organ nadzorczy nie powinien zmniejszać wysokości administracyjnej kary pieniężnej z powodu strat jakie odczuła branża hotelarska podczas pandemii wirusa Covid-19 oraz

– zaproponowano grzywnę, która nie spełnia wymogu odstraszającego charakteru określonego w art. 83 ust. 1 RODO.

EROD postanowił, że:

w swojej ostatecznej decyzji CNIL musi wziąć pod uwagę obrót ACCOR z poprzedniego roku, a mianowicie z roku 2021;

chociaż CNIL nie jest zobowiązany do sprawdzenia wypłacalności ACCOR, powinien – w celu zapewnienia proporcjonalności grzywny – wziąć pod uwagę sytuację finansową ACCOR na podstawie odpowiedniej wartości obrotu tego przedsiębiorstwa, nie uznając zmniejszenia obrotu za czynnik łagodzący zgodnie z art. 83 ust. 2 lit. k) RODO oraz

grzywna nie spełnia wymogu odstraszającego charakteru zgodnie z art. 83 ust. 1 RODO i z tego powodu nakazuje CNIL’owi ponowną ocenę elementów, na których oparł się przy obliczaniu kwoty grzywny, w celu zagwarantowania, że spełnia ona kryterium odstraszającego charakteru zgodnie z art. 83 ust. 1 RODO, uwzględniając w szczególności odpowiedni obrót ACCOR.

Jak widać – przewidziany w RODO mechanizm współpracy pomiędzy krajowymi organami nadzorczymi oraz samą Europejską Radą Ochrony Danych sprawdził się w działaniu.