Prezes Urzędu Ochrony Danych Osobowych nałożył rekordową karę na McDonald’s Polska Sp. z o.o. w związku z naruszeniem przepisów o ochronie danych osobowych. Spółka musi zapłacić łącznie 16 932 657 zł, a dodatkowo otrzymała upomnienie. Kary dotknęły także firmę 24/7 Communication Sp. z o.o., która pełniła funkcję podmiotu przetwarzającego – w jej przypadku sankcje wyniosły 183 858 zł.
Publicznie dostępne dane pracowników
Sprawa dotyczyła przetwarzania danych osobowych pracowników sieci restauracji McDonald’s w module do zarządzania grafikami pracy. Dane te – obejmujące m.in. imiona, nazwiska, numery PESEL, paszportów, szczegóły dotyczące godzin pracy i dni wolnych - znalazły się w publicznie dostępnym katalogu. Administrator – McDonald’s Polska - sam zgłosił naruszenie do UODO.
Niewystarczające zabezpieczenia i brak nadzoru
Ustalenia Prezesa UODO wskazują, że McDonald’s zawarł z firmą 24/7 Communication umowę dotyczącą przetwarzania danych osobowych, jednak nie sprawował nad nią odpowiedniego nadzoru. Podmiot przetwarzający miał wyłączne uprawnienia do zarządzania systemem informatycznym, w którym działał moduł grafików. Administrator nie posiadał dostępu ani nie ubiegał się o przyznanie takiego dostępu. Co więcej, nie realizowano zapisów umowy w zakresie audytów i inspekcji.
Zarówno administrator, jak i podmiot przetwarzający nie przeprowadzili wymaganej analizy ryzyka, ani nie wdrożyli odpowiednich środków technicznych i organizacyjnych. Naruszenie było skutkiem błędnej konfiguracji serwera, umożliwiającej dostęp do kopii bazy danych zawierającej dane osobowe.
Brak umowy dalszego powierzenia i pominięcie inspektora
W trakcie przetwarzania danych 24/7 Communication korzystał z usług kolejnego podmiotu - bez zawarcia wymaganej umowy podpowierzenia, co również stanowiło naruszenie przepisów RODO. Ponadto inspektor ochrony danych (IOD) w McDonald’s nie został włączony w proces oceny podmiotu przetwarzającego, ani w projekt związany z przetwarzaniem danych w module grafików.
Niedostateczna weryfikacja partnera
McDonald’s nie zweryfikował rzetelnie kompetencji 24/7 Communication w zakresie zabezpieczenia danych - współpraca została oparta jedynie na wcześniejszych relacjach w obszarze public relations. Tymczasem zgodnie z przepisami RODO, administrator ma obowiązek powierzać dane wyłącznie podmiotom dającym gwarancję wdrożenia właściwych środków bezpieczeństwa.
Odpowiedzialność administratora i zasada minimalizacji danych
UODO przypomniał, że powierzenie przetwarzania danych nie zwalnia administratora z odpowiedzialności za bezpieczeństwo danych. McDonald’s nie przeprowadził analizy ryzyka i nie ograniczył zakresu przetwarzania danych do niezbędnego minimum. Zamiast użycia neutralnych identyfikatorów, w systemie znalazły się m.in. numery PESEL i paszportów. Dopiero po incydencie dane te zostały zastąpione mniej ryzykownymi identyfikatorami.
Nieprawidłowe zawiadomienie osób dotkniętych naruszeniem
Administrator uznał słusznie, że incydent powodował wysokie ryzyko dla praw osób fizycznych. Powiadomił jednak byłych pracowników tylko za pośrednictwem komunikatów prasowych, co zdaniem Prezesa UODO nie spełnia wymogu bezpośredniego zawiadomienia. W związku z tym udzielono firmie upomnienia.
McDonald’s odpowiedzialny także za dane pracowników franczyzobiorców
Organ nadzorczy uznał, że McDonald’s, jako właściciel i twórca modułu grafików, decydował o celach i sposobach przetwarzania danych osobowych również w przypadku pracowników franczyzobiorców. Tym samym ponosi odpowiedzialność jako administrator także w odniesieniu do tych danych. To McDonald’s wybierał podmiot przetwarzający, przekazywał informacje i zarządzał funkcjonowaniem całego systemu.
Wspólna odpowiedzialność
Sprawa ta pokazuje, że w ochronie danych osobowych odpowiedzialność ponoszą zarówno administrator, jak i podmiot przetwarzający. Błędy w konfiguracji, zaniechania w analizie ryzyka i brak odpowiedniego nadzoru mogą skutkować poważnymi konsekwencjami – zarówno finansowymi, jak i reputacyjnymi.