Urząd Ochrony Danych Osobowych (UODO) poinformował w poniedziałek o nałożeniu kar na McDonald’s Polska Sp. z o.o. oraz współpracującą z nią firmę 24/7 Communication Sp. z o.o.
– Prezes UODO Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł) – czytamy w komunikacie wydanym przez UODO.
Gigantyczna kara dla McDonald’s Polska
W dalszej części komunikatu wyjaśniono, że McDonald’s Polska powierzył na 24/7 Communication przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu.
W udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
Zarówno McDonald’s Polska, jak i 24/7 Communication nie przeprowadziły wymaganej analizy ryzyka oraz nie wdrożyły odpowiednich zabezpieczeń technicznych i organizacyjnych. UODO informuje również, że administrator danych nie sprawował należytego nadzoru nad procesem przetwarzania, a umowa powierzenia nie była w pełni realizowana.
Kontrola wykazała, że zarówno administrator, jak i podmiot przetwarzający nie testowali regularnie zabezpieczeń systemu, nie aktualizowali procedur oraz nie angażowali inspektora ochrony danych we wszystkie istotne kwestie. W systemie przechowywano także zbyt szeroki zakres danych – zamiast ograniczyć się do niezbędnych informacji, przetwarzano m.in. PESEL i numery paszportów, co zwiększyło ryzyko naruszenia prywatności pracowników.
Brak bezpośredniego powiadomienia
McDonald’s Polska przyznał, że w wyniku naruszenia ochrony danych osobowych doszło do wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i powiadomił osoby dotknięte tym zdarzeniem. UODO wskazuje jednak, że byli pracownicy dowiedzieli się o tym z komunikatów prasowych. W ocenie władz urzędu taka forma zawiadomienia nie może zostać uznana za bezpośrednie zawiadomienie o naruszeniu ochrony danych osobowych. Za brak bezpośredniego zawiadomienia byłych pracowników UODO udzielił firmie upomnienia.
