Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył wysokie sankcje pieniężne na McDonald’s Polska Sp. z o.o. oraz 24/7 Communication Sp. z o.o., związane z naruszeniami przepisów dotyczących ochrony danych osobowych. Podjęte działania wynikają z istotnych uchybień w zakresie analizy ryzyka, zabezpieczenia danych oraz nadzoru nad procesami przetwarzania danych osobowych.
Niedociągnięcia w zarządzaniu danymi i analiza ryzyka
Naruszenie przepisów RODO wynikało ze zlecenia przez McDonald’s Polska przetwarzania danych pracowników podmiotowi zewnętrznemu bez wymaganej analizy ryzyka, oraz z pominięciem wdrożenia odpowiednich środków technicznych i organizacyjnych. Doprowadziło to do ujawnienia szczegółowych danych osobowych w publicznie dostępnym katalogu. Organ nadzorczy podkreślił, że wdrożenie odpowiednich zabezpieczeń technicznych obowiązuje w takim samym stopniu administratora jak i przetwarzającego i powinno być działaniem stałym, podlegającym ciągłemu przeglądowi. W razie negatywnych wyników przeglądu zabezpieczenia powinny być aktualizowane.
Do naruszeń doszło ze względu na błędną konfigurację serwera i nieprawidłowe zarządzanie systemem informatycznym. Nie zrealizowano również w pełni umowy powierzenia przetwarzania, a niedostateczny nadzór ze strony administratora spowodował kolejne błędy, w tym niewłaściwe zawiadomienie osób dotkniętych naruszeniem (poprzez wykupienie dwóch komunikatów prasowych).
Brak nadzoru i odpowiedzialność administratora
Podstawowym błędem McDonald’s Polska jako administratora danych było niedokonanie właściwej weryfikacji podmiotu przetwarzającego. Oparł się on wyłącznie na wcześniejszej współpracy w zakresie public relation, co stanowiło naruszenie RODO. Do pogłębienia się problemu doprowadził następnie brak zaangażowania Inspektora Ochrony Danych w kluczowe procesy związane z przetwarzaniem danych.
Równie poważnym uchybieniem była niewłaściwa ocena zakresu i konieczności przetwarzania określonych danych osobowych. Poskutkowało to użyciem nadmiernych informacji, takich jak numery PESEL, bez wprowadzenia zasady minimalizacji. W rzeczywistości do operacji, do której były używane, czyli rejestracji czasu pracy i zarządzania grafikami dane te w ogóle nie były potrzebne. Po incydencie zastąpione zostały numerami identyfikacyjnymi.
Organ nadzorczy uznał, że McDonald’s jako administrator modułu grafików ponosi odpowiedzialność za określanie celów i sposobów przetwarzania danych nie tylko własnych danych, ale również danych pracowników franczyzobiorców. Musi więc spełniać wszystkie wymogi RODO w zakresie realizacji nadzoru i ochrony danych osobowych.
W ramach kary za niedociągnięcia w realizacji obowiązków związanych z RODO McDonald’s Polska Sp. z o.o. otrzymała od Prezesa karę w łącznej wysokości 16 932 657 zł, oraz upomnienie za naruszenie kilku przepisów o ochronie danych osobowych. Na firmę 24/7 Communication Sp. z o.o. nałożona została kara w łącznej kwocie 183 858 zł.
Więcej: https://uodo.gov.pl/pl/138/3827