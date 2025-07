Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na McDonald’s Polska karę w łącznej wysokości 16 932 657 zł. Ukarana została też firma 24/7 Communication. Powodem jest poważne naruszenie przepisów RODO, które doprowadziło do ujawnienia danych osobowych tysięcy pracowników sieci restauracji.

McDonald's został ukarany karą w wysokości niemal 17 ml zł / Zdjęcie ilustracyjne / Shutterstock

Urząd Ochrony Danych Osobowych poinformował dziś o nałożeniu kar na McDonald’s Polska Sp. z o.o. oraz współpracującą z nią firmę 24/7 Communication Sp. z o.o.

W wyniku zaniedbań doszło do ujawnienia w publicznie dostępnym katalogu wrażliwych danych osobowych pracowników restauracji McDonald’s oraz ich franczyzobiorców. Wśród ujawnionych informacji znalazły się m.in. imiona i nazwiska, numery PESEL, numery paszportów, dane dotyczące czasu pracy, stanowiska oraz inne szczegóły zatrudnienia.

Brak nadzoru

Do wycieku danych doszło w związku z powierzeniem przetwarzania informacji zewnętrznej firmie, która zarządzała grafikiem pracy pracowników.

Zarówno McDonald’s Polska, jak i 24/7 Communication nie przeprowadziły wymaganej analizy ryzyka oraz nie wdrożyły odpowiednich zabezpieczeń technicznych i organizacyjnych. Dodatkowo, według UODO administrator danych nie sprawował należytego nadzoru nad procesem przetwarzania, a umowa powierzenia nie była w pełni realizowana.

Wykazano również, że firma przetwarzająca dane korzystała z usług kolejnej firmy bez zawarcia wymaganej umowy podpowierzenia, co jest niezgodne z przepisami RODO.

Niedociągnięcia w zakresie ochrony danych

Kontrola wykazała, że zarówno administrator, jak i podmiot przetwarzający nie testowali regularnie zabezpieczeń systemu, nie aktualizowali procedur oraz nie angażowali inspektora ochrony danych we wszystkie istotne kwestie. W systemie przechowywano także zbyt szeroki zakres danych - zamiast ograniczyć się do niezbędnych informacji, przetwarzano m.in. PESEL i numery paszportów, co zwiększyło ryzyko naruszenia prywatności pracowników.

Brak bezpośredniego powiadomienia poszkodowanych

Po ujawnieniu naruszenia McDonald’s powiadomił osoby dotknięte tą sprawą, jednak w przypadku byłych pracowników ograniczono się jedynie do komunikatów prasowych. Urząd Ochrony Danych Osobowych uznał taką formę za niewystarczającą i udzielił firmie upomnienia.

UODO potwierdził, że McDonald’s Polska pełniła rolę administratora danych także wobec pracowników franczyzobiorców, ponieważ decydowała o celach i sposobach przetwarzania danych oraz wyborze podmiotu przetwarzającego. Odpowiedzialność za naruszenie ochrony danych osobowych objęła więc również pracowników restauracji prowadzonych przez franczyzobiorców.