McDonald’s Polska ukarany. Niemal 17 mln zł za naruszenie RODO
Słona kara dla McDonald’s Polska. Urząd Ochrony Danych Osobowych zarzucił sieci naruszenie szeregu przepisów o ochronie danych osobowych. I zażądał ponad 16,9 mln zł. Karę finansową dostał też podmiot przetwarzający dane.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na McDonald’s Polska aż trzy kary w łącznej wysokości 16 932 657 zł. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. – firmę przetwarzającej dane - w łącznej kwocie 183 858 zł.
Zaczęło się od tego, że firma McDonald’s Polska powierzyła przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy.
Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu – wyjaśnia UODO.
UODO wyjaśnia, gdzie naruszono przepisy
Sieć zgłosiła do urzędu naruszenie ochrony danych osobowych. Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów a nawet daty i godziny rozpoczęcia pracy, czy dni wolne.
McDonald’s zawarł z 24/7 Communication umowę o świadczenie usług w zakresie public relations, obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem serwisu.
UODO tłumaczy, że administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu.
Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu – wyjaśnia UODO.
Więcej wiadomości na temat danych osobowych można przeczytać poniżej:
Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi – dodaje urząd.
Ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania.
Postępowanie wykazało, że spółka McDonald’s nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych – oparto się jedynie na wcześniejszej współpracy w zakresie PR. Tym samym naruszono przepisy, które wymaga, by przetworzeniem danych zajmowały się podmioty, które zagwarantują ochronę danych.
McDonald's: Incydent sprzed pięciu lat
Sieć odniosła się do sprawy w oświadczeniu.
Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów – napisała w komunikacie sieć McDonad’s.
Dodała, że naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku.
