UODO nałożył wielomilionową karę na McDonald’s Polska za naruszenie przepisów RODO
Prezes UODO nałożył karę ponad 16,9 mln zł na McDonald’s Polska za naruszenie ochrony danych osobowych pracowników. Urząd wykazał liczne nieprawidłowości dotyczące zabezpieczenia i nadzoru nad danymi.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na McDonald’s Polska karę w wysokości 16,93 mln zł za naruszenie przepisów RODO, które doprowadziło do ujawnienia danych osobowych tysięcy pracowników sieci restauracji. W tej samej sprawie ukarano również firmę 24/7 Communication, która otrzymała kary w łącznej kwocie 183,9 tys. zł.
Urząd Ochrony Danych Osobowych poinformował, że McDonald’s Polska powierzył przetwarzanie danych osobowych zewnętrznej firmie 24/7 Communication w celu zarządzania grafikami pracy. W wyniku zaniedbań doszło do ujawnienia w publicznie dostępnym katalogu wrażliwych danych osobowych pracowników restauracji McDonald’s oraz franczyzobiorców. Ujawnione dane obejmowały imiona i nazwiska, numery PESEL, numery paszportów, informacje dotyczące czasu pracy, stanowiska oraz inne szczegóły zatrudnienia.
Kontrola wykazała brak analizy ryzyka tego procesu oraz niewdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Zarówno McDonald’s Polska, jak i 24/7 Communication nie realizowały postanowień umowy powierzenia przetwarzania danych osobowych. Administrator danych nie sprawował odpowiedniego nadzoru nad przetwarzaniem danych, a firma przetwarzająca dane korzystała z usług kolejnej firmy bez zawarcia wymaganej umowy podpowierzenia, co naruszało przepisy RODO.
W toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia właściwych środków technicznych i organizacyjnych spoczywa zarówno na administratorze, jak i podmiocie przetwarzającym. Ustalono, że nie prowadzono regularnych testów zabezpieczeń systemu, nie aktualizowano procedur oraz nie angażowano inspektora ochrony danych we wszystkie istotne kwestie. W systemie przechowywano szerszy zakres danych niż wymagany, przetwarzając m.in. numery PESEL i paszportów, co zwiększało ryzyko naruszenia prywatności pracowników.
Po wykryciu naruszenia McDonald’s powiadomił osoby dotknięte incydentem, jednak w przypadku byłych pracowników ograniczono się do komunikatów prasowych. UODO uznał tę formę za niewystarczającą i udzielił firmie upomnienia. Urząd potwierdził także, że McDonald’s Polska pełniła rolę administratora danych również wobec pracowników franczyzobiorców, co oznacza odpowiedzialność za naruszenie ochrony ich danych osobowych.
McDonald’s Polska opublikowała oświadczenie, w którym poinformowała: „Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 r., kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść. Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów”.
W oświadczeniu wskazano również, że naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach w okresie od maja 2014 r. do stycznia 2019 r. Po wykryciu incydentu firma niezwłocznie zgłosiła naruszenie do Prezesa UODO oraz podjęła działania w celu zabezpieczenia danych. W ramach działań naprawczych zrezygnowano z narzędzia do wyświetlania grafików pracy, przeprowadzono niezależne audyty, wzmocniono wewnętrzne procedury oraz regularnie realizowane są szkolenia z zakresu ochrony danych osobowych. Firma podkreśliła, że nie odnotowano przypadków nieuprawnionego wykorzystania ujawnionych danych.
Zobacz tez: Dane z polskich ksiąg wieczystych w rękach zagranicznych firm. UODO i resort sprawiedliwości reagują
Kresy.pl/rmf24
