Blisko 17 milionów złotych kary dla McDonald’s Polska za rażące naruszenia przepisów RODO to jedno z najgłośniejszych rozstrzygnięć Prezesa UODO w ostatnich miesiącach. Sprawa dotyczy niewłaściwego zabezpieczenia danych osobowych pracowników sieci restauracji, braku odpowiedniej analizy tego procesu oraz niezapewnienia realizacji postanowień umownych z dostawcą. Pokazuje, jak łatwo zaniedbania formalne oraz techniczne mogą doprowadzić do poważnych konsekwencji.
Dane pracowników w publicznym katalogu
Punktem zapalnym całej sprawy było udostępnienie niezabezpieczonego pliku, zawierającego dane pracowników McDonald’s Polska – zarówno zatrudnionych bezpośrednio przez firmę, jak i przez jego franczyzobiorców – w ogólnodostępnym katalogu internetowym. Wyciek obejmował istotne informacje: imiona, nazwiska, numery PESEL, paszportów, stanowiska pracy, liczbę przepracowanych godzin, a nawet dni wolne.
Błąd, który doprowadził do ujawnienia danych, wynikał z niewłaściwej konfiguracji serwera. Co gorsza, zarówno McDonald’s, jak i zewnętrzny wykonawca nie zauważyli problemu – nie przeprowadzono analizy ryzyka, nie testowano zabezpieczeń i nie kontrolowano procesów przetwarzania danych.
Błędy formalne i techniczne – lista zaniedbań
W tle tej historii kryje się cała lista błędów, które z perspektywy RODO są niedopuszczalne. Oto najważniejsze z nich:
1. Brak realnej kontroli nad podmiotem przetwarzającym
McDonald’s zlecił zarządzanie grafikami pracy firmie zewnętrznej (24/7 Communication), ale nie zapewnił odpowiedniego nadzoru nad tym procesem. Sama spółka McDonald’s nie zweryfikowała podmiotu z zewnątrz pod kątem zdolności do zabezpieczenia danych, ani nie audytowała go w trakcie współpracy. Najważniejsze ustalenia pozostały tylko na papierze.
2. Niewystarczające zabezpieczenia systemowe
Serwer z modułem grafików został skonfigurowany w sposób umożliwiający przeglądanie jego zawartości przez osoby trzecie. Zabrakło podstawowych zasad bezpieczeństwa oraz działań prewencyjnych, które powinny być stale weryfikowane i aktualizowane – nie tylko raz, na początku współpracy.
3. Brak analizy ryzyka i testów bezpieczeństwa
Zarówno administrator, jak i podmiot przetwarzający nie wykonali analizy ryzyka. Nie wdrożono procedur testowania i audytowania systemu bezpieczeństwa, mimo że to podstawowy obowiązek wynikający z RODO. Realizacja tych procedur, pozwoliłaby lepiej dobrać środki bezpieczeństwa i wychwycić słabe strony procesu. Organ nadzorczy podkreślił, że powierzenie przetwarzania danych osobowych firmie zewnętrznej nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa. Z kolei podmiot przetwarzający uznał sam, że nie odpowiada za bezpieczeństwo przekazywanych mu danych – w tym miejscu ponownie organ nadzorczy zwrócił uwagę, że jest to zarówno rola administratora danych, jak i podmiotu zewnętrznego.
4. Niezawarcie umowy podpowierzenia
Zewnętrzna firma korzystała z usług kolejnego podmiotu, który obsługiwał system informatyczny (poddostawcy), ale bez podpisania wymaganej umowy powierzenia. To kolejny błąd, który przyczynił się do niekontrolowanego wycieku danych.
5. Zbyt szeroki zakres gromadzonych danych
Zamiast użyć bezpieczniejszych identyfikatorów, system operował pełnymi numerami PESEL i paszportów. To nie było konieczne i niepotrzebnie zwiększyło ryzyko naruszenia prywatności. Po incydencie dane te zostały zastąpione bezpieczniejszymi numerami identyfikacyjnymi – zgodnie z zasadą minimalizacji danych.
Dlaczego McDonald’s odpowiada za dane pracowników franczyzobiorców?
W toku postępowania PUODO rozważał, czy McDonald’s odpowiada także za dane kadrowe pracowników franczyzobiorców. Ostatecznie uznano, że tak, ponieważ to McDonald’s był właścicielem systemu grafików, ustalał jego funkcje, zarządzał systemem, zawierał niezbędne umowy i przekazywał zasady działania franczyzobiorcom. Tym samym pełnił rolę administratora danych również wobec ich pracowników.
Upomnienie za brak bezpośredniego kontaktu z byłymi pracownikami
McDonald’s próbował zawiadomić byłych pracowników o naruszeniu poprzez komunikaty prasowe. PUODO uznał jednak, że taka forma nie spełnia wymogów bezpośredniego poinformowania osób dotkniętych naruszeniem, czego wymaga RODO. Za ten błąd firma otrzymała dodatkowe upomnienie.
Wnioski dla pracodawców i HR
Ta sprawa powinna być sygnałem ostrzegawczym dla wszystkich firm. Ochrona danych osobowych pracowników to obowiązek, który wymaga ciągłej uwagi i monitorowania. Oto wnioski, które możemy wyciągnąć z błędu McDonald’s:
- Sprawdzaj kontrahentów – wybór podmiotu przetwarzającego powinien być poparty analizą jego kompetencji w zakresie stosowania zasad ochrony danych i środków bezpieczeństwa. Kontroluj dostawców również w zakresie ich planowanej współpracy z innymi poddostawcami.
- Zawieraj odpowiednie umowy – umowy powierzenia (i podpowierzenia) muszą być podpisane, aktualne i zgodne z zakresem przetwarzania. Pamiętaj, aby realizować postanowienia umowne także w praktyce.
- Analizuj ryzyko i testuj zabezpieczenia – ochrona danych to proces, który trzeba regularnie monitorować i dostosowywać. Z pewnością pomoże to wybrać najlepsze opcje zabezpieczeń oraz szybko wykryć ewentualne luki.
- Angażuj Inspektora Ochrony Danych (IOD) – pomijanie jego roli w kluczowych decyzjach dotyczących przetwarzania danych zwiększa ryzyko błędów.
- Minimalizuj zakres danych – jeśli nie musisz zbierać niektórych danych, nie zbieraj ich na zapas. Wybieraj najbezpieczniejsze możliwe rozwiązania.
Automatyzacja procesów powoduje, że łatwo wpaść w pułapkę przekonania, że „system zrobi wszystko za nas”. Sprawa McDonald’s pokazuje, że za każdy system finalnie odpowiada człowiek. A dokładniej: administrator danych osobowych. Nawet zlecenie pewnych obowiązków firmie zewnętrznej nie ochroni Cię przed konsekwencjami, choć obowiązek należytego postępowania spoczywa oczywiście na obu podmiotach.
Zadbaj o to, by Twoja firma nie powtórzyła tych samych błędów. W razie wątpliwości, warto skorzystać z pomocy specjalistów ds. ochrony danych lub przeprowadzić niezależny audyt RODO.
Jeśli potrzebujesz pomocy w weryfikacji umów powierzenia, analizie ryzyka lub opracowaniu polityki ochrony danych – skontaktuj się z nami na bok@asystahr.pl
Lepiej zapobiegać niż płacić wielomilionowe kary.
