4 godzin temu
W dobie cyfrowego zarządzania procesami kadrowymi, adekwatne zabezpieczenie danych osobowych stanowi obowiązek prawny, który dotyczy każdej organizacji - bez względu na skalę jej działalności. Decyzja prezesa UODO dotycząca McDonald’s Polska i 24/7 Communication pokazuje, jak złożony może być łańcuch odpowiedzialności, gdy przetwarzanie danych osobowych powierzane jest podmiotom zewnętrznym.Reklama
McDonald's z karą od UODO. Naruszenie danych, brak nadzoru i reakcja organu
McDonald’s Polska Sp. z o.o. zgłosiła prezesowi UODO naruszenie ochrony danych osobowych po ujawnieniu pliku zawierającego dane pracowników restauracji własnych i franczyzowych w publicznie dostępnym katalogu. Udostępnione informacje obejmowały m.in. imiona i nazwiska, numery PESEL lub paszportów, numery restauracji, godziny rozpoczęcia i zakończenia pracy, stanowiska, rodzaje dni pracy oraz liczby przepracowanych godzin. Do ujawnienia doszło na skutek błędnej konfiguracji serwera wykorzystywanego do obsługi tzw. modułu grafików pracowniczych.
Za obsługę tego systemu odpowiadała firma 24/7 Communication, z którą McDonald’s zawarł umowę o świadczenie usług PR oraz osobną umowę powierzenia przetwarzania danych osobowych. Moduł grafików, będący częścią prowadzonego przez McDonald’s systemu, umożliwiał zarządzanie czasem pracy, ale nie posiadał oddzielnego panelu administracyjnego. Administrator danych - McDonald’s - nie wystąpił o dostęp do systemu i nie sprawował nad nim faktycznego nadzoru, zlecając całość operacji zewnętrznemu podmiotowi. Jednocześnie nie realizowano postanowień umowy w zakresie prawa do audytu i inspekcji.
Postępowanie wykazało również, iż ani administrator, ani podmiot przetwarzający nie przeprowadzili wymaganej analizy ryzyka, nie wdrożyli adekwatnych środków technicznych i organizacyjnych oraz nie prowadzili regularnego testowania zabezpieczeń systemu. Podmiot przetwarzający nie identyfikował przetwarzanego modułu jako zasobu wymagającego ochrony. UODO podkreślił, iż obowiązki w tym zakresie wynikają bezpośrednio z przepisów i nie mogą być wyłączane interpretacją zapisów umownych.
Niezgodne działania z podwykonawcą i ograniczona rola inspektora
Jak czytamy w specjalnym komunikacie UODO, w toku postępowania stwierdzono, iż 24/7 Communication korzystała z usług innego dostawcy, nie zawierając z nim wymaganego prawem podpowierzenia przetwarzania danych osobowych. Odpowiednia umowa została zawarta dopiero po zgłoszeniu incydentu. Jednocześnie zarówno administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych (IOD) w procesy związane z wyborem usługodawcy ani w obsługę systemu przetwarzającego dane pracownicze. Brak udziału IOD ograniczył możliwość oceny ryzyka i zgodności przetwarzania danych z przepisami RODO.
Zgodnie z ustaleniami UODO, McDonald’s Polska nie dokonał również weryfikacji 24/7 Communication pod kątem jej umiejętności zabezpieczenia danych osobowych. Decyzję o powierzeniu danych oparto wyłącznie na dotychczasowej współpracy w obszarze PR, co jak wskazuje instytucja, było niezgodne z art. 28 ust. 1 RODO, wymagającym, by przetwarzanie było powierzone podmiotom dającym wystarczające gwarancje wdrożenia odpowiednich środków ochrony danych.
Po stronie administratora doszło także do naruszenia zasady minimalizacji danych. W systemie grafików wykorzystywano identyfikatory takie jak numery PESEL i paszportów, mimo iż nie były one niezbędne do realizacji celu przetwarzania. Dopiero po incydencie zastąpiono je indywidualnymi numerami identyfikacyjnymi, co zgodnie z art. 5 ust. 1 lit. c i art. 25 ust. 1 RODO powinno zostać wdrożone wcześniej.
Skala odpowiedzialności i konsekwencje decyzji
W wyniku naruszenia danych osobowych prezes UODO nałożył na McDonald’s Polska Sp. z o.o. trzy kary administracyjne w wysokości 1 632 063 zł, 13 600 528 zł oraz 1 700 066 zł - łącznie 16 932 657 zł. Na podmiot przetwarzający, 24/7 Communication Sp. z o.o., nałożono natomiast trzy kary w wysokości 94 286 zł, 42 429 zł i 47 143 zł - łącznie 183 858 zł. Dodatkowo McDonald’s otrzymał upomnienie za niewystarczająco bezpośredni sposób powiadomienia byłych pracowników o naruszeniu - zamiast kontaktu indywidualnego, skorzystano wyłącznie z komunikatów prasowych.
W ramach postępowania organ nadzorczy przesądził również, iż McDonald’s pełnił rolę administratora danych nie tylko wobec własnych pracowników, ale także wobec personelu franczyzobiorców. Firma była twórcą i właścicielem systemu do planowania czasu pracy oraz decydowała o jego funkcjonalnościach, zakresie danych i sposobie ich przetwarzania. Przekazywanie informacji do franczyzobiorców odbywało się za pośrednictwem McDonald’s, który również zawierał umowy z podmiotami przetwarzającymi dane.
Zgodnie z RODO, obowiązki administratora nie ustają w momencie zawarcia umowy powierzenia. Niezależnie od struktury organizacyjnej, to administrator odpowiada za bezpieczeństwo danych, ich zakres oraz wybór i kontrolę podmiotów, którym dane powierzono. Decyzja UODO przypomina, iż w środowisku przetwarzania danych osobowych nie ma miejsca na skróty organizacyjne, a każda luka w procedurach może skutkować poważnymi konsekwencjami prawnymi i finansowymi.
McDonald's komentuje milionową karę
McDonald’s Polska wydał oświadczenie w związku z decyzją UODO. "Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, iż doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, iż zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów" - przekazała firma.
Sieć fastfoodów podkreśliła w oficjalnym stanowisku, iż sprawa nie dotyczy obecnych pracowników restauracji w całej Polsce. "Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych" - wyjaśniono.
Jednocześnie McDonald's Polska wskazał w oświadczeniu dotyczącym ukarania wielomilionową karą, iż "do dziś" nie odnotowano "przypadków nieuprawnionego wykorzystania danych objętych incydentem".
Agata Jaroszewska
![Pacjentka z Olsztyna z podejrzeniem odry. Sanepid szuka osób mających kontakt z kobietą [AKTUALIZACJA]](https://static.olsztyn.com.pl/static/articles_photos/44/44274/abf62031235cde67ee3bc7f08b017f61.jpg)
