- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Prezes UODO nałożył podmiotom – McDonald’s Polska oraz firmie 24/7 Communication – kary o łącznej wysokości niemal 17,1 mln zł (16 932 657 zł i 183 858 zł). Wszystko z powodu poważnych zaniedbań w ochronie danych pracowników (PESEL, paszporty, harmonogramy) udostępnianych publicznie przez błędnie skonfigurowany serwer.
Jak informuje Urząd Ochrony Danych Osobowych, McDonald’s Polska powierzył firmie zewnętrznej zarządzanie modułem grafików pracowniczych, ale nie przeprowadził żadnej analizy ryzyka tego procesu. W konsekwencji nie zadbano o odpowiednie zabezpieczenia techniczne i organizacyjne. Administrator, czyli McDonald’s, nie realizował obowiązków wynikających z umowy o powierzenie przetwarzania. Nie kontrolował systemu ani nie wykonywał audytów. Nie uzyskał też dostępu administracyjnego – wszystkie uprawnienia pozostawały po stronie firmy 24/7 Communication.
Jak informuje UODO, błąd konfiguracji pozwolił na publiczny dostęp do katalogu zawierającego dane pracowników (PESEL, paszporty, godziny pracy, stanowiska itd.). Błędem był również brak umowy powierzenia pomiędzy 24/7 Communication, a kolejnym podmiotem, z którego usług korzystała w zakresie dalszego przetwarzanie danych. Przypomnijmy, że jest obowiązkowe według RODO. Umowa została sporządzona dopiero po interwencji UODO. Warto dodać, że Inspektor ochrony danych McDonald’s nie brał udziału w analizie wyboru podmiotu przetwarzającego ani w ocenie ryzyka, co ograniczyło skuteczność ochrony danych.
Dla UODO decydującymi czynnikami przemawiającymi za nałożeniem kary był fakt, że McDonald’s wciąż pozostaje administratorem danych – tworzy system i decyduje o sposobie przetwarzania, także danych franczyzobiorców i ich pracowników. Samo powierzenie przetwarzania nie zwalnia z odpowiedzialności – zgodnie z RODO administrator musi zapewnić bezpieczeństwo przetwarzania przez cały czas (analizy, audyty, zabezpieczenia). Nie przestrzegano także zasady minimalizacji danych – trudno uzasadnić zbieranie PESEL i numeru paszportu przy ewidencji pracy. Dopiero po naruszeniu wprowadzono numery identyfikacyjne jako identyfikatory.
W trakcie prowadzonego postępowania Prezes Urzędu Ochrony Danych Osobowych przeanalizował również, czy McDonald’s może być traktowany jako administrator danych osobowych pracowników zatrudnionych przez franczyzobiorców tej sieci. Zgłoszenia naruszenia dotyczyły bowiem tego samego incydentu związanego z bezpieczeństwem danych. Zgodnie z przepisami RODO, administratorem danych jest ten podmiot, który decyduje o celach oraz środkach przetwarzania informacji osobowych.
McDonald’s, jako właściciel systemu do planowania grafików i rejestracji czasu pracy – obejmującego również pracowników franczyzowych restauracji – miał decydujący wpływ na sposób i cel przetwarzania tych danych. To właśnie McDonald’s opracował funkcjonalności tego narzędzia, w tym zakres gromadzonych informacji, i przekazał jego obsługę firmie 24/7 Communication – wybranemu przez siebie podmiotowi przetwarzającemu.
Dodatkowo to McDonald’s pośredniczył w przekazywaniu informacji i zawieraniu umów z franczyzobiorcami. Taka rola nie mogła pozostać bez znaczenia dla oceny odpowiedzialności spółki jako administratora danych. W konsekwencji Prezes UODO uznał, że McDonald’s ponosi odpowiedzialność – zgodnie z przepisami RODO – również za naruszenia dotyczące danych osobowych pracowników zatrudnionych przez franczyzobiorców.
Jakie wnioski możemy wyciągnąć jako administratorzy danych? Jaką przestrogę niesie ta decyzja? Powinniśmy pamiętać o kilku czynnikach, które zadbają o bezpieczeństwo danych i pozwolą uchronić nas przed potencjalnym naruszeniem danych i w jego konsekwencji karą:
Dokładna analiza ryzyka – dla każdego procesu powierzonego innym podmiotom.
Stały nadzór i audyty – obowiązki wynikające z umowy muszą być realizowane.
Minimalizacja zbieranych danych – zbieraj tylko to, co naprawdę potrzebne.
Pełne umowy powierzenia i podpowierzenia – zgodnie z RODO.
Włączenie IOD – inspektor powinien uczestniczyć w każdym etapie, od wyboru podwykonawcy po ocenę ryzyka.
Bezpośrednie powiadamianie – przy wysokim ryzyku osoba fizyczna musi być poinformowana indywidualnie.
Sprawa McDonald’s to przykład, jak kluczowe jest prowadzenie dokumentacji, nadzorowanie podwykonawców i przekazywanie tylko niezbędnych danych. RODO to nie tylko formalność – to proces, który trzeba aktywnie wdrażać i stale kontrolować. Dziś odpowiedzialność ponosi administrator i każdy partner w łańcuchu przetwarzania danych – a konsekwencje mogą być bardzo dotkliwe. Numer decyzji: DKN.5130.4179.2020