Urząd Ochrony Danych Osobowych nałożył rekordową karę na McDonald’s Polska. Firma będzie musiała zapłacić niemal 17 mln złotych za poważne naruszenia przepisów RODO. Główne zarzuty dotyczą braku odpowiedniego zabezpieczenia danych oraz ich ujawnienia w publicznie dostępnym katalogu.
Dane wrażliwe dostępne publicznie
Postępowanie wykazało, że McDonald’s Polska przekazał dane osobowe swoich pracowników i franczyzobiorców firmie zewnętrznej 24/7 Communication. Wśród informacji znajdowały się m.in. imiona, nazwiska, numery PESEL, numery paszportów, stanowiska, przypisania do konkretnych restauracji, a nawet szczegółowe grafiki pracy z podziałem na daty i godziny. Plik z tymi danymi został umieszczony w publicznym katalogu na źle skonfigurowanym serwerze.
UODO wskazał, że dane te mogły dotyczyć nawet kilku tysięcy osób i były dostępne dla każdego, kto miał link do katalogu. Co więcej, przez długi czas nikt nie zauważył problemu, a osoby, których dane wyciekły, nie zostały bezpośrednio poinformowane. McDonald’s ograniczył się do ogólnego komunikatu prasowego, co nie spełnia wymogów rozporządzenia RODO.
Brak analizy ryzyka i niewystarczające zabezpieczenia
W toku postępowania ustalono, że McDonald’s nie przeprowadził analizy ryzyka związanego z powierzeniem przetwarzania danych firmie zewnętrznej. Firma nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec wyciekowi. Zdaniem UODO narusza to podstawowe zasady ochrony danych osobowych, takie jak minimalizacja danych i ich odpowiednie zabezpieczenie.
Kara dla McDonald’s Polska wyniosła dokładnie 16 932 657 zł. Dodatkowo, ukarana została również firma 24/7 Communication, która odpowiadała za wdrożenie systemu i obsługę danych. W jej przypadku sankcja wyniosła 183 858 zł.
Konsekwencje i możliwe odwołanie
Choć kara jest rekordowa, decyzja UODO nie jest jeszcze prawomocna. Zarówno McDonald’s, jak i 24/7 Communication mogą się od niej odwołać do sądu administracyjnego. Przedstawiciele urzędu podkreślają jednak, że skala i charakter naruszeń wymagały zdecydowanej reakcji. To także ważny sygnał dla całego rynku, ponieważ każde powierzenie danych osobowych musi wiązać się z analizą zagrożeń i wdrożeniem odpowiednich zabezpieczeń.
UODO przypomina, że obowiązek ochrony danych spoczywa nie tylko na administratorze, ale również na podmiotach przetwarzających. Firmy nie mogą traktować ochrony danych jako formalności – to obszar, który bezpośrednio wpływa na bezpieczeństwo i zaufanie klientów oraz pracowników.