Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na McDonald’s Polska Sp. z o.o. karę w wysokości 16 932 657 zł oraz udzielił upomnienia za złamanie przepisów dotyczących ochrony danych osobowych. W tej samej sprawie, kara została również wymierzona firmie 24/7 Communication Sp. z o.o., która otrzymała mandat w wysokości 183 858 zł.
W wyniku zaniedbań w procesie przetwarzania danych osobowych, firma McDonald’s Polska powierzyła zarządzanie grafikami pracy swoich pracowników zewnętrznemu podmiotowi. Niestety, brak odpowiednich działań w zakresie analizy ryzyka, wdrożenia zabezpieczeń oraz realizacji postanowień umowy powierzenia, doprowadził do ujawnienia danych osobowych pracowników w publicznie dostępnym katalogu.
Spółka McDonald’s Polska zgłosiła incydent ochrony danych osobowych do Prezesa UODO. W wyniku analizy, okazało się, że w udostępnionym publicznie pliku znalazły się dane osobowe pracowników McDonald’s oraz jego franczyzobiorców, takie jak imiona, nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), dane dotyczące miejsca pracy, czas rozpoczęcia i zakończenia zmiany, liczba przepracowanych godzin, stanowisko oraz dni wolne.
McDonald’s zawarł z firmą 24/7 Communication umowę na świadczenie usług PR, a także osobną umowę powierzenia przetwarzania danych osobowych. Celem tego porozumienia było przetwarzanie danych pracowników w ramach systemu grafików pracy, do którego dostęp miały również restauracje McDonald's oraz franczyzobiorcy. Jednakże, firma McDonald’s nie miała uprawnień do zarządzania tym systemem – jedynie podmiot przetwarzający, czyli 24/7 Communication, miał pełny dostęp. Co więcej, McDonald’s nie wystąpił o przyznanie odpowiednich uprawnień, mimo że taka możliwość istniała.
W dodatku, umowa powierzenia nie była odpowiednio realizowana. Nie przeprowadzono audytów, a nadzór nad danymi osobowymi powierzonymi firmie 24/7 Communication nie był odpowiedni.
W toku postępowania organ nadzorczy wskazał, że zarówno administrator danych (McDonald’s), jak i podmiot przetwarzający (24/7 Communication), są zobowiązani do wdrożenia odpowiednich środków zabezpieczających dane osobowe. Przepisy RODO wskazują, że proces zabezpieczania danych nie jest jednorazowym działaniem, lecz musi obejmować regularny przegląd i ewentualną aktualizację zabezpieczeń.
McDonald’s i 24/7 Communication nie przeprowadzili wymaganej analizy ryzyka ani nie wdrożyli środków ochrony odpowiadających skali przetwarzanych danych. Z kolei naruszenie bezpieczeństwa wynikało z niewłaściwej konfiguracji serwera, co umożliwiło dostęp do danych osobowych, w tym danych przechowywanych w bazie grafików pracy.
Ponadto, firma 24/7 Communication korzystała z usług zewnętrznych podmiotów, z którymi nie zawarto odpowiednich umów dotyczących dalszego powierzenia przetwarzania danych osobowych. Zgodnie z RODO, taka umowa powinna była być zawarta wcześniej. Dopiero po wykryciu naruszenia podpisano odpowiednią umowę, co jest wyraźnym naruszeniem obowiązków administratora i podmiotu przetwarzającego.
Kolejnym uchybieniem było pominięcie Inspektora Ochrony Danych (IOD) w kluczowych procesach związanych z ochroną danych osobowych. IOD nie był zaangażowany w analizę wyboru podmiotu przetwarzającego ani w proces przetwarzania danych związanych z modułem grafików. Taki brak zaangażowania ograniczył możliwość zapobieżenia naruszeniu.
McDonald’s nie przeprowadził wystarczającej weryfikacji podmiotu przetwarzającego – firmie 24/7 Communication powierzono przetwarzanie danych na podstawie wcześniejszej współpracy w zakresie PR, a nie ze względu na jej zdolności do zapewnienia odpowiednich zabezpieczeń. W wyniku tego naruszenia nie został zapewniony odpowiedni poziom ochrony danych, co stanowiło złamanie przepisów RODO.
Choć McDonald’s powierzył przetwarzanie danych zewnętrznej firmie, nie zwalnia go to z odpowiedzialności za bezpieczeństwo danych osobowych, zgodnie z przepisami RODO. Administrator danych ma obowiązek zapewnienia odpowiednich środków ochrony, niezależnie od tego, czy dane przetwarza we własnym zakresie, czy przekazuje je innemu podmiotowi. McDonald’s nie przeprowadził wymaganej analizy ryzyka, a ponadto nie dokonał ograniczenia zakresu przetwarzania danych tylko do tych, które byłyby niezbędne do realizacji celu przetwarzania.
McDonald’s słusznie poinformował osoby, których dane zostały naruszone, jednak w przypadku byłych pracowników zastosowano niewłaściwą formę zawiadomienia – poprzez komunikaty prasowe, co zdaniem Prezesa UODO, nie spełniało wymogów bezpośredniego zawiadomienia.
W toku postępowania Prezes UODO stwierdził również, że McDonald’s powinno ponosić odpowiedzialność za dane osobowe pracowników swoich franczyzobiorców. To McDonald’s jako właściciel systemu grafików decydował o celach i sposobach przetwarzania danych, a także ustalał zasady współpracy z firmą 24/7 Communication.
Po wydaniu decyzji przez UODO, McDonald’s poinformował, że analizuje treść orzeczenia i podejmuje działania mające na celu minimalizowanie skutków incydentu, do którego doszło w 2020 roku i który obejmował dane osobowe osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Firma podkreśliła, że dane osobowe klientów, użytkowników aplikacji mobilnej oraz kontrahentów nie zostały naruszone. „Po stwierdzeniu naruszenia niezwłocznie zgłosiliśmy je do UODO, a w trakcie postępowania współpracowaliśmy z Urzędem. Zrezygnowaliśmy z narzędzi do wyświetlania grafików pracy, przeprowadzamy audyty oraz wzmacniamy wewnętrzne procedury ochrony danych” – czytamy w oświadczeniu firmy.
McDonald’s nie odnotował przypadków nieuprawnionego wykorzystania danych.
Dołącz do newslettera
Ważne linki
Na skróty
Katalog franczyz
Kwoty inwestycji
