UODO nałożył karę na McDonald's Polska
Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski nałożył na McDonald’s Polska trzy kary w łącznej wysokości 16 932 657 zł (ponad 13,6 mln zł, ok. 1,7 mln zł i ponad 1,6 mln zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych - czytamy w komunikacie opublikowanym w poniedziałek 21 lipca. W tej samej sprawie prezes UODO nałożył trzy kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (ponad 94 tys. zł, ok. 47 tys. zł i ponad 42 tys. zł). "McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu" - podkreślił UODO.
Kara na McDonald's. W tle naruszenie danych osobowych
Sieć McDonald’s Polska zgłosiła prezesowi UODO naruszenie ochrony danych osobowych. Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników sieci McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
UODO wyjaśnia
W komunikacie UODO wyjaśniono, że McDonald’s zawarł z firmą 24/7 Communication umowę o świadczenie usług w zakresie public relations, obok której zawarł również umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w "module grafik pracowniczy" i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu. Urząd przekazał, że w toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego. "Ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania. Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający" - wskazano w komunikacie.
McDonald's Polska komentuje decyzję UODO
Spółka McDonald's Polska powiadomiła, że analizuje decyzję prezesa UODO. "Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów" - czytamy. Wyjaśniono również, że naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach tej sieci od maja 2014 r. do stycznia 2019 r. Firma zapewnia, że po stwierdzeniu naruszenia niezwłocznie dokonała zgłoszenia do prezesa Urzędu Ochrony Danych Osobowych i w toku postępowania administracyjnego transparentnie współpracowała z urzędem. "Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych. Do dziś nie odnotowaliśmy przypadków nieuprawnionego wykorzystania danych objętych incydentem" - podkreśliła spółka.
Czytaj również: "Protest związkowców PKP Cargo. 'Z powodu patologicznej polityki rządu'".
Źródła:UODO, McDonald's
