Wielomilionowa kara dla McDonald's Polska. Narażono bezpieczeństwo tysięcy Polaków

W Polsce działa ponad pół tysiąca restauracji McDonald's. Pracuje w nich 31 tys. osób

Udany film "McImperium" przyczynił się do masowego zwiększenia świadomości, jak specyficznym biznesem są restauracje McDonald's oraz jakie zawiłości miały miejsce w historii tej marki. Działa efekt skali i czegokolwiek McDonald's by się nie chwycił, ma duże szanse stać się automatycznie jednym z największych graczy w danej kategorii. Niestety dotyczy to także naruszeń bezpieczeństwa danych.

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski poinformował, że na McDonald's i spółki partnerskie nałożona została wysoka kara. Tym razem nie chodzi jednak o któregoś z franczyzobiorców, lecz o McDonald's Polska Sp. z o.o., która dopuściła się znaczącego zaniedbania w ochronie danych zatrudnianych w restauracjach pracowników.

Kolejne naruszenia z ochrony danych pracowników. Tym razem zawiodła centrala

Nie jest to pierwszy przypadek, kiedy dochodzi do daleko idącej niefrasobliwości w przetwarzaniu danych pracowników McDonald's. W czerwcu zeszłego roku duży franczyzobiorca z Podkarpacia zagubił pendrive z danymi pracowników, łącznie ze zdjęciami i danymi o zarobkach. Grzywna wyniosła wówczas blisko 240 tys. zł, jednak jej wysokość nijak ma się do kwoty, którą zapłacić ma polska centrala, McDonald's Polska.

Urząd Ochrony Danych Osobowych zdecydował, aby spółkę ukarać kwotą ponad 16,9 mln zł. Kolejne 183,9 tys. zł kary nałożono na przedsiębiorstwo 24/7 Communication Sp. z o.o, gdzie McDonald's delegował przetwarzanie danych.

Zawiodło niemal wszystko. Wielomilionowa kara dla McDonald's Polska

O pierwotnym naruszeniu prawa ochrony danych osobowych poinformowała UODO sama sieć. Doszło do udostępnienia w publicznym katalogi pliku z danymi pracowników i franczyzobiorców. W czasie incydentu każdy mógł przez to uzyskać imiona i nazwiska pracowników, numery PESEL, numery paszportów, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.

W toku postępowania UOKiK ustalił jednak, że sam wyciek to jeden problem, a drugi mogą stanowić umowy wiążące McDonald's Polska z 24/7 Communication, z którym nawiązano współpracę PR-ową, ale też powierzono dostęp do modułu zarządzania grafikami pracowniczymi. Firma 24/7 Communication nie miała uprawnień do zarządzania grafikami.

Urząd Ochrony Danych Osobowych wylicza kolejne uchybienia McDonald's: brak realizacji umów powierzenia przetwarzania danych osobowych, brak należytego nadzoru nad powierzonymi danymi, wdrożenia odpowiednich środków technicznych (moduł grafiku można było odseparować, czego nie zrobiono), nie testowano, nie mierzono i nie oceniano ryzyka przetwarzania danych, co jest ustawowym obowiązkiem administratora.

W ocenie UODO McDonald's nie dokonał ponadto należytej weryfikacji podmiotu przetwarzającego, jak czytamy "oparto się jedynie na wcześniejszej współpracy w zakresie PR". Nie zadbano nawet o tak, wydawałoby się, elementarne formalności, jak zawarcie umowy powierzenia przetwarzania danych, a sam fakt, że w systemie grafików pracowniczych znalazły się takie dane jak PESEL czy numery paszportów świadczy o tym, że złamano zasadę minimalnego zakresu przetwarzania informacji na dane potrzeby.

UODO uznał także, że dalece niewystarczające było w ramach obowiązku zawiadomienia poszkodowanych wykupienie dwóch komunikatów prasowych. Podkreślmy – McDonald's nie zwrócił się do pracowników, których dane mogły wyciec, lecz zlecił publikację depeszy w prasie. Co ważne, urząd jest zdania, że wystarczyłoby w większym stopniu włączyć w procesy Inspektora Ochrony Danych, aby naruszeniu można było zapobiec.

Na McDonald’s Polska Sp. z o.o. nałożono karę w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł). Udzielono także u pomnienia za naruszenie licznych przepisów ustawy o ochronie danych osobowych. Przedsiębiorstwo 24/7 Communication Sp. z o.o. ukarano łącznie grzywną w wys. 183 858 zł.