Prezes UODO nałożył na McDonald’s Polska rekordową karę blisko 17 mln zł za poważne naruszenia RODO skutkujące wyciekiem danych pracowników. Sprawa ujawnia fundamentalne błędy w zarządzaniu powierzeniem danych, ryzykiem i nadzorem IOD.
Kara UODO za naruszenie RODO – detale sprawy
Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald’s Polska Sp. z o.o. kary administracyjne o łącznej wartości 16 932 657zł oraz udzielił upomnienia za szereg naruszeń przepisów ochrony danych osobowych. Kary dotknęły także podmiot przetwarzający – 24/7 Communication Sp. z o.o., na który nałożono kary w sumie 183 858zł. Główną przyczyną sankcji był wyciek wrażliwych danych pracowników oraz franczyzobiorców sieci do publicznie dostępnego katalogu na skutek błędnej konfiguracji serwera systemu do zarządzania grafikami pracy.
W wyniku incydentu doszło do ujawnienia takich danych, jak:
imiona i nazwiska,
numery PESEL i paszportów,
numery restauracji,
daty i godziny pracy,
liczby przepracowanych godzin,
stanowiska,
dni wolne i rodzaje pracy.
Wyciek objął zatrudnionych zarówno przez McDonald’s Polska, jak i franczyzobiorców.
Ani administrator (McDonald’s Polska), ani podmiot przetwarzający (24/7 Communication) nie przeprowadzili analizy ryzyka dla procesu zarządzania grafikami. Nie wdrożono procedur regularnego testowania i aktualizacji środków technicznych — co stanowiło ewidentne zaniedbanie wymogów RODO – art. 32. Naruszenie powstało wskutek błędnej konfiguracji serwera, który umożliwił dostęp do bazy każdemu użytkownikowi internetu.
Nieprawidłowości w zarządzaniu umowami powierzenia
McDonald’s nie realizował nałożonych postanowień umownych, m.in. w zakresie przeprowadzania audytów oraz inspekcji.
Podmiot przetwarzający zlecił dalsze usługi innemu podmiotowi, nie zawierając umowy dalszego powierzenia — co stanowi naruszenie art. 28 ust. 4 i 9 RODO.
Administrator i procesor nie włączali inspektora ochrony danych (IOD) do oceny ryzyka oraz wyboru partnera technicznego. Pominięcie IOD w newralgicznych procesach znacznie ograniczyło możliwość zapobieżenia incydentowi. McDonald’s nie zweryfikował również podmiotu przetwarzającego pod kątem zgodności z RODO i posiadanych zabezpieczeń, opierając się jedynie na wcześniejszej współpracy PR.
Zamiast ograniczyć przetwarzanie do niezbędnych danych, system zawierał PESEL i numery paszportów pracowników — co zwiększyło ryzyko w przypadku wycieku. Dopiero po incydencie dane te zastąpiono mniej wrażliwymi identyfikatorami, co powinno być standardem od początku realizacji projektu.
McDonald’s prawidłowo uznał incydent za mogący wywołać wysokie ryzyko dla praw i wolności osób fizycznych. Jednak zamiast bezpośredniej komunikacji z byłymi pracownikami, ograniczono się do wykupienia komunikatów prasowych — co UODO uznał za naruszenie obowiązku określonego w RODO, skutkujące dodatkowym upomnieniem dla administratora.
UODO jednoznacznie podkreślił, że zawarcie umowy powierzenia nie zwalnia administratora z odpowiedzialności za bezpieczeństwo danych. Administrator musi stale nadzorować proces przetwarzania, realizować analizę ryzyka, audyty i zapewniać adekwatność środków ochrony.
Wnioski i rekomendacje dla administratorów danych i podmiotów przetwarzających:
Regularna analiza ryzyka wszystkich procesów powierzania danych.
Bieżący nadzór i inspekcje — także przez IOD.
Weryfikacja kompetencji podmiotów przetwarzających przed podpisaniem umowy.
Dostosowanie zakresu danych do niezbędnego minimum (zasada minimalizacji).
Bezpośrednie informowanie osób dotkniętych incydentem zgodnie z art. 34 RODO.
Utrzymywanie środków ochrony na odpowiednim poziomie i ich ciągła aktualizacja.
UODO, DKN.5130.4179.2020
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
