REKLAMA

McDonald’s z gigantyczną karą. Firma straci miliony złotych

McDonald’s Polska znalazł się właśnie w centrum jednej z najgłośniejszych spraw o ochronę danych w Polsce.

McDonald’s Polska z karą od UODO
REKLAMA

Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę karę w wysokości 16,93 mln zł oraz wydał oficjalne upomnienie za poważne naruszenia przepisów RODO. Decyzja pokazuje, że nawet globalny gigant nie jest nietykalny, jeśli chodzi o bezpieczeństwo danych osobowych.

REKLAMA

Gigantyczna kara i towarzyszące jej sankcje

W oficjalnym komunikacie UODO potwierdził, że McDonald’s Polska dopuścił się szeregu zaniedbań przy przetwarzaniu danych osobowych swoich pracowników. W ramach tego samego postępowania ukarano również 24/7 Communication, czyli firmę zewnętrzną, która brała udział w obsłudze danych, na łączną kwotę 183,9 tys. zł. To jedna z najwyższych łącznych kar w historii polskiego nadzoru nad ochroną danych.

Gdzie doszło do naruszenia?

Jak wykazało postępowanie, McDonald’s powierzył przetwarzanie danych osobowych pracowników firmie zewnętrznej, która zajmowała się obsługą grafików pracy w sieci restauracji. Problem w tym, że nie przeprowadzono wymaganej analizy ryzyka, nie wdrożono odpowiednich zabezpieczeń, a także nie dopilnowano realizacji umowy powierzenia danych.  W efekcie dane osobowe pracowników, w tym ich imiona, nazwiska, a także szczegóły dotyczące ich pracy,  trafiły do publicznie dostępnego katalogu, gdzie każdy mógł je podejrzeć.

RODO nie wybacza nawet największym

Prezes UODO przypomniał w komunikacie, że obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych spoczywa zarówno na administratorze danych (w tym przypadku był nim McDonald’s), jak i na podmiocie przetwarzającym.

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, nakłada na firmy szereg obowiązków, w tym m.in.: konieczność minimalizacji zbieranych danych, obowiązek szyfrowania i kontrolowania dostępu oraz monitorowanie podmiotów zewnętrznych przetwarzających dane. Zaniedbanie któregoś z tych punktów może skutkować nie tylko grzywną, lecz także poważnym kryzysem wizerunkowym.

Sieć jest odpowiedzialna także za dane pracowników zatrudnianych przez franczyzobiorców

Prezes UODO w swoim postępowaniu przeanalizował również, czy McDonald’s można uznać za administratora danych osobowych zatrudnionych przez franczyzobiorców sieci, którzy również zgłosili naruszenie związane z tym samym incydentem. Urząd Ochrony Danych Osobowych stwierdził, że administratorem jest ten podmiot, który określa cel i sposób przetwarzania danych, a nie tylko fizycznie je przechowuje.

Przeczytaj także:

W tym przypadku McDonald’s był właścicielem modułu do zarządzania grafikami i ewidencją czasu pracy, wykorzystywanego także w lokalach prowadzonych przez franczyzobiorców. To właśnie sieć zdefiniowała funkcjonalności oprogramowania, zakres gromadzonych danych i sposób ich przetwarzania. Przesądziło to o tym, że również w odniesieniu do pracowników franczyzobiorców sieć McDonald’s została uznana za administratora danych osobowych.

McDonald’s odnosi się do sprawy w oświadczeniu

McDonald’s Polska wydał obszerne oświadczenie, w którym przyznaje, że decyzja Prezesa UODO dotyczy incydentu z 2020 r., związanego z nieuprawnionym dostępem do danych osobowych części pracowników w Polsce. Firma podkreśla, że analizuje treść decyzji i zapewnia, że działa w zgodzie z prawem oraz z poczuciem odpowiedzialności wobec zatrudnionych. „Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ” – podano w komunikacie, zaznaczając jednocześnie, że naruszenie nie obejmowało danych gości, użytkowników aplikacji mobilnej ani kontrahentów.

REKLAMA

Dotyczyło ono wyłącznie osób zatrudnionych w wybranych restauracjach między majem 2014 a styczniem 2019 r. Sieć poinformowała również, że po wykryciu nieprawidłowości niezwłocznie powiadomiła UODO i od tamtej pory współpracowała z urzędem w celu wyjaśnienia sprawy. Wdrożono dodatkowe zabezpieczenia, zrezygnowano z wadliwego narzędzia do wyświetlania grafików, przeprowadzono niezależne audyty, wzmocniono procedury i rozpoczęto cykliczne szkolenia z ochrony danych. McDonald’s podkreślił, że do tej pory nie odnotowano przypadków nieuprawnionego wykorzystania danych objętych incydentem.

*Źródło zdjęcia wprowadzającego: monticello / Shutterstock.com

REKLAMA
Najnowsze
Aktualizacja: 2025-07-21T15:17:03+02:00
Aktualizacja: 2025-07-21T15:07:55+02:00
Aktualizacja: 2025-07-21T08:42:19+02:00
Aktualizacja: 2025-07-21T06:30:00+02:00
Aktualizacja: 2025-07-20T07:41:00+02:00
Aktualizacja: 2025-07-20T07:01:00+02:00
Aktualizacja: 2025-07-19T16:30:00+02:00
Aktualizacja: 2025-07-19T16:20:00+02:00
Aktualizacja: 2025-07-19T11:53:36+02:00
Aktualizacja: 2025-07-19T08:01:00+02:00
REKLAMA
REKLAMA
REKLAMA