Dane pracowników na tacy. McDonald's zapłaci 17 mln zł kary
Blisko 17 milionów złotych – tyle wynoszą kary finansowe, jakie Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald’s Polska. Powodem było rażące naruszenie przepisów RODO, skutkujące publicznym ujawnieniem danych osobowych tysięcy pracowników.
Publiczny katalog z PESEL-em
Wszystko zaczęło się od zgłoszenia naruszenia ochrony danych przez McDonald’s Polska. Jak ustalono, w pliku dostępnym publicznie w Internecie znajdowały się wrażliwe dane pracowników restauracji McDonald’s i jego franczyzobiorców. Wśród nich były imiona i nazwiska, numery PESEL i paszportów, godziny rozpoczęcia i zakończenia zmiany, dni wolne i zajmowane stanowiska.
Z pozoru to tylko plik z grafikami, w praktyce potężne ryzyko nadużyć. A wszystko przez fatalną konfigurację serwera, który umożliwiał podgląd danych osobowych bez żadnych zabezpieczeń.
Kto zawinił? Wszyscy
Administrator danych, czyli McDonald’s Polska, powierzył przetwarzanie danych firmie 24/7 Communication. Problem w tym, że nie przeprowadzono ani analizy ryzyka, ani weryfikacji zabezpieczeń. Cały system zarządzania grafikami był poza kontrolą administratora – nie istniał osobny panel administracyjny, a dostęp do systemu miał wyłącznie podmiot przetwarzający.
Tymczasem obowiązkiem administratora jest nadzorowanie, audytowanie i kontrolowanie przetwarzania danych. Tym bardziej, że dane dotyczyły nie tylko własnych pracowników McDonald’s, ale też zatrudnionych przez franczyzobiorców.
Kary w milionach – ale nie tylko pieniężne
Prezes UODO nałożył na McDonald’s Polska trzy kary administracyjne o łącznej wysokości 16932657 zł. Dodatkowo, firma otrzymała upomnienie za brak bezpośredniego poinformowania byłych pracowników o naruszeniu. Ograniczono się do dwóch komunikatów prasowych, co w ocenie UODO nie spełnia wymogów RODO.
Nie obyło się też bez konsekwencji dla 24/7 Communication. Na firmę nałożono trzy kary finansowe o łącznej kwocie 183858 zł.
Zaniedbania od A do Z
UODO wykazał, że zarówno administrator, jak i podmiot przetwarzający:
- nie przeprowadzili analizy ryzyka,
- nie wdrożyli odpowiednich zabezpieczeń,
- nie realizowali obowiązków wynikających z umowy powierzenia,
- nie zawarli wymaganej umowy podpowierzenia z kolejnym podmiotem,
- nie zaangażowali inspektora ochrony danych we wszystkie kluczowe działania.
Ponadto, zakres zbieranych danych był zbyt szeroki. Zamiast prostych identyfikatorów, w systemie gromadzono PESEL-e i numery paszportów. Dopiero po incydencie dane te zastąpiono wewnętrznymi ID, co od początku powinno być standardem.
"PR-owe" podejście do ochrony danych
Sprawa McDonald’s pokazuje, że nawet światowe marki mogą boleśnie odczuć skutki bagatelizowania ochrony danych. Firma zdecydowała się zlecić obsługę krytycznego systemu partnerowi, który wcześniej zajmował się... obsługą PR. UODO podkreśla, że samo doświadczenie w relacjach medialnych nie wystarcza, by bezpiecznie przetwarzać dane osobowe pracowników.
Co ważne, McDonald’s Polska nie uniknie odpowiedzialności również za dane pracowników restauracji prowadzonych przez franczyzobiorców. Dlaczego? Bo to McDonald’s był właścicielem systemu, decydował o jego funkcjach i przekazał zarządzanie nim podmiotowi przetwarzającemu. W świetle prawa – pełnił rolę administratora.
Wnioski dla wszystkich firm
UODO nie pozostawia złudzeń: powierzenie danych nie zwalnia administratora z odpowiedzialności. Niezależnie od wielkości firmy, każdy podmiot musi:
- przeprowadzać analizę ryzyka,
- wdrażać zabezpieczenia adekwatne do skali i charakteru przetwarzania danych osobowych,
- regularnie testować i aktualizować zabezpieczenia,
- kontrolować swoich partnerów i podwykonawców,
- informować osoby, których dane dotyczą, w sposób bezpośredni i skuteczny.
McDonald’s zapłaci wysoką cenę za ignorowanie tych zasad. Ale być może dzięki temu inne firmy potraktują ochronę danych osobowych poważniej – zanim będzie za późno.
