1 tydzień temu
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył łączne kary finansowe w wysokości blisko 17 milionów złotych na McDonald’s Polska Sp. z o.o. oraz dodatkowe sankcje na firmę 24/7 Communication Sp. z o.o. – podmiot przetwarzający dane osobowe. Postępowanie wykazało szereg naruszeń w zakresie bezpieczeństwa danych pracowników sieci restauracji oraz jej franczyzobiorców.
Ujawnione dane pracowników
Do naruszenia ochrony danych doszło w związku z nieprawidłowym funkcjonowaniem „modułu grafików pracowniczych” – narzędzia służącego do planowania i ewidencji czasu pracy pracowników McDonald’s i jego franczyzobiorców. Plik z danymi osobowymi został udostępniony w publicznie dostępnym katalogu. Zawierał m.in. imiona i nazwiska, numery PESEL lub paszportów, stanowiska, szczegóły dotyczące godzin pracy i dni wolnych, a także numery restauracji.
Łączna wysokość kar
Prezes UODO nałożył na McDonald’s Polska Sp. z o.o. trzy kary administracyjne:
-
1 632 063 zł,
-
13 600 528 zł,
-
1 700 066 zł.
Łącznie daje to kwotę 16 932 657 zł. Dodatkowo spółka otrzymała upomnienie za brak bezpośredniego zawiadomienia byłych pracowników o naruszeniu.
W tej samej sprawie ukarany został również podmiot przetwarzający – 24/7 Communication Sp. z o.o., który otrzymał trzy kary:
-
94 286 zł,
-
42 429 zł,
-
47 143 zł.
W sumie: 183 858 zł.
Kluczowe ustalenia postępowania
Brak nadzoru nad przetwarzaniem danych
McDonald’s, jako administrator danych, zlecił obsługę systemu zewnętrznej firmie, nie mając jednocześnie dostępu do konfiguracji systemu ani panelu administracyjnego. Pomimo istnienia możliwości nadzoru, administrator nigdy nie wnioskował o przyznanie takich uprawnień, a postanowienia umowy powierzenia przetwarzania danych – m.in. dotyczące audytów i kontroli – nie były realizowane.
Błędy po stronie podmiotu przetwarzającego
24/7 Communication odpowiadało za utrzymanie systemu i jego konfigurację. To błędna konfiguracja serwera umożliwiła ujawnienie danych osobowych. Dodatkowo, firma nie przeprowadziła analizy ryzyka, nie wdrożyła wystarczających środków bezpieczeństwa i korzystała z usług podwykonawcy bez zawarcia odpowiedniej umowy podpowierzenia – co jest obowiązkiem wynikającym z RODO.
Zasada minimalizacji danych
W systemie grafików znajdowały się dane, które nie były niezbędne do realizacji celu przetwarzania – m.in. numery PESEL i paszportów. Zostały one użyte jako identyfikatory użytkowników systemu. Dopiero po incydencie zastąpiono je bezpieczniejszymi numerami identyfikacyjnymi. UODO wskazał to jako naruszenie zasady minimalizacji (art. 5 ust. 1 lit. c RODO).
Brak bezpośredniego zawiadomienia byłych pracowników
McDonald’s poinformował obecnych pracowników o naruszeniu danych osobowych, natomiast w przypadku byłych pracowników ograniczył się do publikacji dwóch komunikatów prasowych. UODO uznał, iż taka forma nie spełnia wymogu bezpośredniego zawiadomienia osób, których dane dotyczą – co skutkowało udzieleniem upomnienia.
Pominięcie Inspektora Ochrony Danych
Ani administrator, ani podmiot przetwarzający nie włączyli Inspektora Ochrony Danych (IOD) w proces wyboru usługodawcy, przetwarzania danych czy oceny ryzyka. To kolejne naruszenie obowiązków wynikających z RODO (art. 38 ust. 1), ograniczające możliwość wcześniejszego zidentyfikowania ryzyk.
McDonald’s również administratorem danych pracowników franczyzobiorców
Prezes UODO stwierdził, iż McDonald’s Polska Sp. z o.o. pełni rolę administratora danych osobowych nie tylko swoich pracowników, ale również pracowników franczyzobiorców. Uzasadnieniem była decyzyjność spółki w zakresie funkcjonalności systemu grafików, przekazywania danych do podmiotu przetwarzającego oraz komunikacja z franczyzobiorcami.
Znaczenie sprawy
Decyzja UODO podkreśla, iż zarówno administrator, jak i podmiot przetwarzający są odpowiedzialni za zgodność z RODO i bezpieczeństwo danych. Powierzenie przetwarzania danych osobowych zewnętrznej firmie nie zwalnia administratora z obowiązku nadzoru i wdrożenia odpowiednich zabezpieczeń.
Sprawa McDonald’s jest dotychczas jednym z najwyraźniejszych przypadków naruszeń przepisów o ochronie danych osobowych w Polsce. Stanowi ważne ostrzeżenie dla innych organizacji – zwłaszcza tych korzystających z usług zewnętrznych dostawców – o konieczności realnego nadzoru nad przetwarzaniem danych, zgodności umów z RODO i ciągłej weryfikacji poziomu bezpieczeństwa danych osobowych.
