Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na McDonald’s Polska karę w łącznej wysokości 16 932 657 zł. Ukarana została też firma 24/7 Communication. Powodem jest poważne naruszenie przepisów RODO, które doprowadziło do ujawnienia danych osobowych tysięcy pracowników sieci restauracji.
Urząd Ochrony Danych Osobowych poinformował dziś o nałożeniu kar na McDonald’s Polska Sp. z o.o. oraz współpracującą z nią firmę 24/7 Communication Sp. z o.o.
W wyniku zaniedbań doszło do ujawnienia w publicznie dostępnym katalogu wrażliwych danych osobowych pracowników restauracji McDonald’s oraz ich franczyzobiorców. Wśród ujawnionych informacji znalazły się m.in. imiona i nazwiska, numery PESEL, numery paszportów, dane dotyczące czasu pracy, stanowiska oraz inne szczegóły zatrudnienia.
Do wycieku danych doszło w związku z powierzeniem przetwarzania informacji zewnętrznej firmie, która zarządzała grafikiem pracy pracowników.
Zarówno McDonald’s Polska, jak i 24/7 Communication nie przeprowadziły wymaganej analizy ryzyka oraz nie wdrożyły odpowiednich zabezpieczeń technicznych i organizacyjnych. Dodatkowo, według UODO administrator danych nie sprawował należytego nadzoru nad procesem przetwarzania, a umowa powierzenia nie była w pełni realizowana.
Wykazano również, że firma przetwarzająca dane korzystała z usług kolejnej firmy bez zawarcia wymaganej umowy podpowierzenia, co jest niezgodne z przepisami RODO.
Kontrola wykazała, że zarówno administrator, jak i podmiot przetwarzający nie testowali regularnie zabezpieczeń systemu, nie aktualizowali procedur oraz nie angażowali inspektora ochrony danych we wszystkie istotne kwestie. W systemie przechowywano także zbyt szeroki zakres danych - zamiast ograniczyć się do niezbędnych informacji, przetwarzano m.in. PESEL i numery paszportów, co zwiększyło ryzyko naruszenia prywatności pracowników.
Po ujawnieniu naruszenia McDonald’s powiadomił osoby dotknięte tą sprawą, jednak w przypadku byłych pracowników ograniczono się jedynie do komunikatów prasowych. Urząd Ochrony Danych Osobowych uznał taką formę za niewystarczającą i udzielił firmie upomnienia.
UODO potwierdził, że McDonald’s Polska pełniła rolę administratora danych także wobec pracowników franczyzobiorców, ponieważ decydowała o celach i sposobach przetwarzania danych oraz wyborze podmiotu przetwarzającego. Odpowiedzialność za naruszenie ochrony danych osobowych objęła więc również pracowników restauracji prowadzonych przez franczyzobiorców.
Po publikacji artykułu otrzymaliśmy oświadczenie McDonad's Polska dotyczące decyzji UODO. Oto jego pełna treść:
"Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść.
Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów.
Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych.
Do dziś nie odnotowaliśmy przypadków nieuprawnionego wykorzystania danych objętych incydentem".