Close Menu

McDonald’s ukarany niemal 17 mln zł za złamanie RODO. Dane pracowników wyciekły

1620px McDonalds logo Targowek
Mcdonalds

Urząd Ochrony Danych Osobowych nałożył jedną z najwyższych kar w historii polskiego nadzoru nad RODO. Na celowniku znalazł się McDonald’s Polska, który powierzył przetwarzanie danych agencji, nie weryfikując jej zgodności z przepisami. Skutki były poważne – doszło do upublicznienia danych osobowych tysięcy pracowników.

Surowa kara dla McDonald’s Polska

16 932 657 złotych – dokładnie tyle wynosi kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na spółkę McDonald’s Polska. Decyzja organu nadzorczego zapadła po wykryciu poważnych nieprawidłowości w zakresie przetwarzania danych osobowych pracowników oraz franczyzobiorców sieci restauracji.

Kluczowe uchybienie dotyczyło współpracy McDonald’s Polska z zewnętrzną agencją 24/7 Communication, której zlecono przygotowanie grafik pracowniczych. Jak ustalono, agencja ta nie spełniała wymogów wynikających z RODO, a mimo to powierzono jej przetwarzanie bardzo wrażliwych danych.

Upubliczniono dane osobowe. Lista naruszeń jest długa

W toku postępowania UODO ustalił, że w publicznie dostępnym pliku katalogu znalazły się dane osobowe pracowników McDonald’s oraz jego franczyzobiorców, w tym:

  • imiona i nazwiska,
  • numery PESEL,
  • numery paszportów,
  • daty i godziny rozpoczęcia pracy,
  • stanowiska służbowe,
  • dni wolne od pracy.

Tego typu informacje zostały udostępnione publicznie za pośrednictwem serwisu prowadzonego przez administratora danych, co narusza podstawowe zasady minimalizacji i bezpieczeństwa przetwarzania danych osobowych.

Niewystarczający nadzór nad podmiotem przetwarzającym

Zasadniczym zarzutem wobec McDonald’s Polska było brak weryfikacji, czy podmiot zewnętrzny – w tym przypadku agencja 24/7 Communication – ma odpowiednie środki i procedury do przetwarzania danych zgodnie z RODO.

Co więcej, zakres udostępnionych danych wykraczał poza to, co było niezbędne do realizacji celów, takich jak układanie grafików pracowniczych. W dokumentacji przekazanej agencji znajdowały się dane wrażliwe, które nie były konieczne do wykonywania tego typu zadań, co jest sprzeczne z zasadą minimalizacji danych.

Współodpowiedzialność obu firm

UODO podkreślił, że odpowiedzialność za bezpieczeństwo danych spoczywa nie tylko na podmiotach przetwarzających dane (agencjach, usługodawcach), ale również – i przede wszystkim – na administratorach danych, czyli firmach zlecających.

W związku z tym kary finansowe zostały nałożone zarówno na:

  • McDonald’s Polska Sp. z o.o. – 16 932 657 zł,
  • 24/7 Communication Sp. z o.o. – 183 000 zł.

Ukarane firmy mają jeszcze możliwość złożenia odwołania do sądu administracyjnego, ponieważ decyzja UODO nie jest prawomocna.

UODO przypomina: obowiązek sprawdzania partnerów

W swoim komunikacie Urząd Ochrony Danych Osobowych przypomina wszystkim administratorom danych, że zanim powierzą przetwarzanie danych osobowych podmiotowi zewnętrznemu, muszą:

  1. Sprawdzić jego zdolność do zapewnienia zgodności z RODO.
  2. Podpisać umowę powierzenia przetwarzania danych, która będzie regulować zakres i sposób przetwarzania.
  3. Monitorować przebieg współpracy, aby mieć pewność, że podmiot działa zgodnie z przepisami.

W omawianym przypadku McDonald’s nie dochował tych obowiązków, co skutkowało zarówno naruszeniem prywatności tysięcy osób, jak i dotkliwą karą finansową.

Potencjalne skutki dla wizerunku i franczyzobiorców

Choć McDonald’s Polska zareagował na incydent i sam zgłosił naruszenie do UODO, skalę zaniedbań trudno bagatelizować. Naruszenie dotknęło nie tylko pracowników korporacyjnych, ale również franczyzobiorców i ich personel, co może rodzić poważne skutki wizerunkowe, prawne i finansowe.

Zaufanie do marki może zostać nadwyrężone, szczególnie jeśli sprawa będzie szeroko komentowana w mediach. Dla franczyzobiorców może to oznaczać dodatkowe koszty w zakresie ochrony danych i potencjalne żądania odszkodowań od pracowników.

Decyzja bez precedensu?

Wysokość kary – niemal 17 mln zł – czyni ją jedną z największych nałożonych w Polsce za naruszenie przepisów o ochronie danych osobowych. UODO w swoim orzeczeniu jasno wskazał, że zaniedbania tak dużych korporacji nie mogą pozostać bezkarne, szczególnie gdy w grę wchodzą dane tysięcy osób.

To wyraźny sygnał dla innych firm działających w Polsce, że standardy ochrony danych muszą być priorytetem, a współpraca z zewnętrznymi agencjami musi być każdorazowo dokładnie kontrolowana.

Co dalej?

McDonald’s Polska i 24/7 Communication mogą jeszcze odwołać się od decyzji UODO do Wojewódzkiego Sądu Administracyjnego. W przypadku dalszych odwołań sprawa może trafić nawet do Naczelnego Sądu Administracyjnego. Tymczasem Urząd zapowiada, że będzie uważnie monitorował przypadki naruszeń przepisów RODO przez inne firmy.

Dla rynku to jasny sygnał: zaniedbanie obowiązków informacyjnych i bezpieczeństwa danych może słono kosztować – także globalne marki.

Share.
Napisz komentarz