McDonald’s Polska został ukarany przez Urząd Ochrony Danych Osobowych (UODO) za poważne naruszenie przepisów o ochronie danych osobowych. Ta decyzja UODO stanowi ważny sygnał dla wszystkich firm przetwarzających wrażliwe informacje. Pokazuje ona, jak istotne jest przestrzeganie zasad RODO.
Kary finansowe są bardzo wysokie. Główna kara dla McDonald’s Polska przekracza 16,9 miliona złotych. Ponadto, agencja 24/7 Communication otrzymała grzywnę w wysokości blisko 184 tysięcy złotych. Cała sytuacja jest efektem nieprawidłowego powierzenia przetwarzania danych.
Przyczyna Kary: Ujawnienie Wrażliwych Danych
Urząd Ochrony Danych Osobowych jasno wskazał przyczynę. McDonald’s powierzył przetwarzanie danych swoich pracowników zewnętrznej agencji, nie wdrażając przy tym odpowiednich zabezpieczeń. W efekcie dane osobowe pracowników restauracji oraz franczyzobiorców znalazły się w ogólnodostępnym katalogu. To poważne uchybienie. Brak analizy ryzyka doprowadził do ujawnienia poufnych informacji.
Plik, który trafił do sieci, zawierał niezwykle szczegółowe dane. Były to imiona, nazwiska, a także numery PESEL i paszportów. Ponadto, ujawniono numery restauracji, informacje o czasie pracy oraz zajmowanym stanowisku. W pliku znalazły się również dane o dniach wolnych i rodzaju wykonywanej pracy. To zbiór bardzo wrażliwych informacji.
McDonald’s i Zabezpieczenie Danych Pracowników
Firma McDonald’s zawarła z agencją 24/7 Communication dwie umowy. Jedna dotyczyła PR, natomiast druga przetwarzania danych. Ta druga umowa odnosiła się do „modułu grafików pracowniczych”. System ten udostępniał dane pracownikom i franczyzobiorcom McDonald’s. UODO wykryło tu poważne niedociągnięcia.
Kluczowym problemem okazał się brak uprawnień administratora. McDonald’s nie miał dostępu do zarządzania zasobami systemu informatycznego. Takie uprawnienia posiadał wyłącznie podmiot przetwarzający. Mimo technicznej możliwości stworzenia panelu administracyjnego, McDonald’s nigdy o taki dostęp nie poprosił. To zaniechanie było kluczowe.
Urząd podkreślił, że obowiązki RODO spoczywają na obu stronach. Zarówno administrator danych, jak i podmiot przetwarzający, muszą zapewnić bezpieczeństwo. Przedsiębiorstwo McDonald’s nie zweryfikowało 24/7 Communication pod kątem zdolności do zabezpieczenia danych. Opierano się jedynie na dotychczasowej współpracy PR-owej. To naruszało artykuł 28 ustęp 1 RODO. Mówi on o konieczności zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych.
Warto pamiętać, że umowa powierzenia nie zwalnia administratora z odpowiedzialności. Zapewnienie bezpieczeństwa danych to jego stały obowiązek. UODO zwróciło również uwagę na naruszenie zasady minimalizacji danych. W systemie znalazło się więcej informacji, niż było to konieczne do ewidencjonowania czasu pracy. Cała sytuacja pokazuje, jak kluczowe jest prawidłowe zarządzanie danymi w McDonald’s i innych organizacjach. Dlatego warto zawsze dbać o szczegóły. Przeczytaj więcej na ten temat oraz Zobacz również podobny artykuł, aby poszerzyć swoją wiedzę.
