Prezes UODO nałożył na McDonald’s Polska kary w wysokości ponad 16,9 mln. zł za naruszenie przepisów o ochronie danych osobowych. Wskutek błędów wrażliwe dane pracowników i franczyzobiorców zostały udostępnione w publicznie dostępnym katalogu - poinformował UODO.
Spółka McDonald’s Polska poinformowała w komunikacie, że analizuje decyzję prezesa UODO, podkreślając, że kara dotyczy incydentu z 2020 roku i do dnia dzisiejszego nie odnotowano przypadków nieuprawnionego wykorzystania danych nim objętych.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych.
O co chodzi?
Incydent został zgłoszony do UODO przez McDonald’s Polska Sp. z o.o. Firma poinformowała, że w udostępnionym pliku, w publicznym katalogu dostępne były dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numery restauracji McDonald’s, daty i godziny rozpoczęcia i zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
Według UODO, McDonald’s Polska zawarło wcześniej z firmą ds. PR - 24/7 Communication Sp. z o.o. - umowę o świadczenie usług w zakresie public relations. Jednocześnie spółka zawarła drugą umowę - powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez spółkę McDonald’s serwisu. Ponadto, jak poinformował UODO, przy przetwarzaniu powierzonych danych osobowych podmiot przetwarzający (24/7 Communication Sp. z o.o.) korzystał z usług innego podmiotu, bez zawarcia umowy dalszego powierzenia przetwarzania danych osobowych. Ta została zawarta dopiero na etapie badania sprawy przez organ nadzorczy, po ujawnieniu incydentu.
Jak czytamy, administrator (McDonald’s Polska) nie posiadał uprawnień do zarządzania zasobami i konfiguracją tego typu systemu informatycznego. Uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona firmie PR-owej.
Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi
— zaznaczył UODO.
Stanowisko UODO
UODO podkreślił, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego. Oznacza to, że za ochronę danych osobowych są odpowiedzialni zarówno administrator, jak i podmiot przetwarzający, również w przypadku decyzji o powierzeniu przetwarzania danych osobowych. Tymczasem, jak czytamy w komunikacie ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka oraz nie wdrożyli odpowiednich środków technicznych i organizacyjnych.
Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający
— podkreślił Urząd.
UODO poinformował, że spółka McDonald’s nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych. Spółka nie przeprowadziła wymaganej analizy ryzyka i nie uwzględniła zagrożeń wynikających z korzystania z usług podmiotu przetwarzającego. Ponadto, w systemie widoczne były wrażliwe dane osobowe pracowników, zamiast wyłącznie niezbędnych do ewidencjonowania czasu pracy oraz zarządzania czasem ich pracy.
Ponadto administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Inspektor nie był włączony w analizę kwalifikacji i zasadności wyboru podmiotu przetwarzającego i w przetwarzanie danych związanych z modułem grafików.
„Pominięcie IOD ograniczyło możliwość zapobieżenia naruszeniu
— przekazał UODO.
W tej samej sprawie Prezes UODO nałożył również kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł.
Według UODO spółka McDonald’s zgodnie ze skalą zagrożenia poinformowała swoich pracowników o naruszeniu ochrony danych osobowych. Zaznaczył jednak, że forma zawiadomienia była różna, a byłych pracowników spółka zawiadomiła jedynie poprzez dwa komunikaty prasowe, co w ocenie prezesa UODO nie może zostać uznane za bezpośrednie zawiadomienie. W tej sprawie organ nadzorczy udzielił administratorowi upomnienia.
Komunikat McDonalds’s Polska
W wydanym komunikacie spółka McDonald’s Polska poinformowała, że analizuje decyzję prezesa UODO.
Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść
— poinformowała spółka.
Spółka zaznaczyła, że podjęła działania, aby zminimalizować wpływ incydentu z 2020 roku. Podkreśliła, że naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku.
W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych
— przekazała.
McDonald’s Polska zaznaczył, że do dziś nie odnotował przypadków nieuprawnionego wykorzystania danych objętych incydentem.
as/PAP
Publikacja dostępna na stronie: https://wpolityce.pl/gospodarka/735623-mcdonalds-ukarany-przez-uodo-musi-zaplacic-169-mln-zl
Dziękujemy za przeczytanie artykułu!
Najważniejsze teksty publicystyczne i analityczne w jednym miejscu! Dołącz do Premium+. Pamiętaj, możesz oglądać naszą telewizję na wPolsce24. Buduj z nami niezależne media na wesprzyj.wpolsce24.
