McDonald’s z gigantyczną karą. Firma straci miliony złotych
McDonald’s Polska znalazł się właśnie w centrum jednej z najgłośniejszych spraw o ochronę danych w Polsce.

Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę karę w wysokości 16,93 mln zł oraz wydał oficjalne upomnienie za poważne naruszenia przepisów RODO. Decyzja pokazuje, że nawet globalny gigant nie jest nietykalny, jeśli chodzi o bezpieczeństwo danych osobowych.
Gigantyczna kara i towarzyszące jej sankcje
W oficjalnym komunikacie UODO potwierdził, że McDonald’s Polska dopuścił się szeregu zaniedbań przy przetwarzaniu danych osobowych swoich pracowników. W ramach tego samego postępowania ukarano również 24/7 Communication, czyli firmę zewnętrzną, która brała udział w obsłudze danych, na łączną kwotę 183,9 tys. zł. To jedna z najwyższych łącznych kar w historii polskiego nadzoru nad ochroną danych.
Gdzie doszło do naruszenia?
Jak wykazało postępowanie, McDonald’s powierzył przetwarzanie danych osobowych pracowników firmie zewnętrznej, która zajmowała się obsługą grafików pracy w sieci restauracji. Problem w tym, że nie przeprowadzono wymaganej analizy ryzyka, nie wdrożono odpowiednich zabezpieczeń, a także nie dopilnowano realizacji umowy powierzenia danych. W efekcie dane osobowe pracowników, w tym ich imiona, nazwiska, a także szczegóły dotyczące ich pracy, trafiły do publicznie dostępnego katalogu, gdzie każdy mógł je podejrzeć.
RODO nie wybacza nawet największym
Prezes UODO przypomniał w komunikacie, że obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych spoczywa zarówno na administratorze danych (w tym przypadku był nim McDonald’s), jak i na podmiocie przetwarzającym.
RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, nakłada na firmy szereg obowiązków, w tym m.in.: konieczność minimalizacji zbieranych danych, obowiązek szyfrowania i kontrolowania dostępu oraz monitorowanie podmiotów zewnętrznych przetwarzających dane. Zaniedbanie któregoś z tych punktów może skutkować nie tylko grzywną, lecz także poważnym kryzysem wizerunkowym.
Sieć jest odpowiedzialna także za dane pracowników zatrudnianych przez franczyzobiorców
Prezes UODO w swoim postępowaniu przeanalizował również, czy McDonald’s można uznać za administratora danych osobowych zatrudnionych przez franczyzobiorców sieci, którzy również zgłosili naruszenie związane z tym samym incydentem. Urząd Ochrony Danych Osobowych stwierdził, że administratorem jest ten podmiot, który określa cel i sposób przetwarzania danych, a nie tylko fizycznie je przechowuje.
Przeczytaj także:
W tym przypadku McDonald’s był właścicielem modułu do zarządzania grafikami i ewidencją czasu pracy, wykorzystywanego także w lokalach prowadzonych przez franczyzobiorców. To właśnie sieć zdefiniowała funkcjonalności oprogramowania, zakres gromadzonych danych i sposób ich przetwarzania. Przesądziło to o tym, że również w odniesieniu do pracowników franczyzobiorców sieć McDonald’s została uznana za administratora danych osobowych.
McDonald’s odnosi się do sprawy w oświadczeniu
McDonald’s Polska wydał obszerne oświadczenie, w którym przyznaje, że decyzja Prezesa UODO dotyczy incydentu z 2020 r., związanego z nieuprawnionym dostępem do danych osobowych części pracowników w Polsce. Firma podkreśla, że analizuje treść decyzji i zapewnia, że działa w zgodzie z prawem oraz z poczuciem odpowiedzialności wobec zatrudnionych. „Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ” – podano w komunikacie, zaznaczając jednocześnie, że naruszenie nie obejmowało danych gości, użytkowników aplikacji mobilnej ani kontrahentów.
Dotyczyło ono wyłącznie osób zatrudnionych w wybranych restauracjach między majem 2014 a styczniem 2019 r. Sieć poinformowała również, że po wykryciu nieprawidłowości niezwłocznie powiadomiła UODO i od tamtej pory współpracowała z urzędem w celu wyjaśnienia sprawy. Wdrożono dodatkowe zabezpieczenia, zrezygnowano z wadliwego narzędzia do wyświetlania grafików, przeprowadzono niezależne audyty, wzmocniono procedury i rozpoczęto cykliczne szkolenia z ochrony danych. McDonald’s podkreślił, że do tej pory nie odnotowano przypadków nieuprawnionego wykorzystania danych objętych incydentem.
*Źródło zdjęcia wprowadzającego: monticello / Shutterstock.com