21 lipca 2025 Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, zdecydował o nałożeniu na McDonald’s Polska kary finansowej w wysokości 16 932 657 zł oraz upomnieniu firmy za naruszenie przepisów dotyczących ochrony danych osobowych. W tej samej sprawie karę otrzymała również spółka przetwarzająca dane - 24/7 Communication – która musi zapłacić 183 858 zł. 

Przyczyna nałożenia na firmę McDonald's Polska kary przez PUODO

U podstaw nałożenia kary na McDonald's Polska leży powierzenie przetwarzania danych osobowych jej pracowników zewnętrznej firmie w celu zarządzania grafikami pracy przez wybrane restauracje. Niestety proces ten nie został odpowiednio zabezpieczony, powierzający nie wykonał analizy jego ryzyka. Te zaniedbania doprowadziły do ujawnienia tych danych w publicznie dostępnym katalogu.

Na skutek nieprawidłowej realizacji umowy powierzenia przetwarzania danych doszło do ujawnienia takich informacji jak:

•                imiona i nazwiska pracowników,

•                stanowiska,

•                numery PESEL,

•                numery paszportów,

•                numery restauracji, w których pracowali,

•                daty i godziny pracy,

•                dni wolne.

Przyczyną zdarzenia była nieprawidłowa konfiguracja serwera, która pozwalała na dostęp do bazy danych z aplikacji poprzez grafiki pracy.

Oświadczenie McDonald's w sprawie incydentu

McDonald's Polska w odpowiedzi na nałożoną karę podkreślił, że firma działa w zgodzie z przepisami prawa dotyczącego RODO i odpowiedzialnie podchodzi do kwestii ochrony danych osobowych. Wyrażono również ubolewanie z powodu incydentu, który miał miejsce od maja 2014 do stycznia 2019 roku, jednocześnie zapewniając, że podjęto działania mające na celu zminimalizowanie jego negatywnych skutków. Firma podkreśliła, że zdarzenie nie dotyczyło danych klientów, użytkowników aplikacji mobilnej ani kontrahentów.

Po stwierdzeniu naruszenia, McDonald's sam zgłosił sprawę do Prezesa UODO i podjął współpracę w trakcie postępowania administracyjnego. Firma zrezygnowała z używanego narzędzia do wyświetlania grafików pracy, przeprowadziła niezależne audyty oraz wzmocniła wewnętrzne procedury. Cyklicznie realizowane są szkolenia z zakresu ochrony danych osobowych, aby podobne sytuacje nie miały miejsca w przyszłości. McDonald's informuje również, że nie odnotowano przypadków nieuprawnionego wykorzystania danych objętych incydentem.

Sprawa zwraca uwagę na konieczność stałego monitorowania i weryfikacji systemów przetwarzających dane osobowe, szczególnie gdy korzystają z nich zewnętrzni dostawcy. Ochrona takich danych powinna być priorytetem nie tylko dla przedsiębiorstw, ale również dla wszystkich podmiotów przetwarzających.

Monika Zygmunt-Jakuć(Inspektor Ochrony Danych)