Trwa ładowanie...
Notowania
Przejdź na
Katarzyna Bartman
|

Dwaj amerykańscy giganci WeWork i McDonald’s tłumaczą się za naruszenia RODO

71
Podziel się:

Urząd Ochrony Danych Osobowych prowadzi równolegle dwa postępowania administracyjne wobec światowych koncernów. Jedno wobec światowego zarządcy ekskluzywnych biurowców, drugie - wobec popularnej sieci fast foodów. Obie firmy zbierały i przetwarzały chronione dane osobowe z naruszeniem prawa.

Dwaj amerykańscy giganci WeWork i McDonald’s tłumaczą się za naruszenia RODO
Pracownik McDonald's z koronawirusem (Google Maps)
bEEswQdh

Odwiedzając jedną z firm, która ma swoją siedzibę w wieżowcu Legency Tower w Warszawie przy ul. Prostej 20, trzeba się liczyć z tym, że wizyta będzie przypominała procedury stosowane na wejściu do najbardziej chronionych urzędów w kraju.

System informatyczny obsługujący budynek skonstruowany jest tak, że aby wejść do wewnątrz, trzeba zostawić na recepcji nie tylko swoje imię, nazwisko, numer telefonu czy adres mailowy, ale również zdjęcie – dokładnie skan twarzy. W przeciwnym razie "system" nas nie przepuści dalej.

Tak jest we wszystkich nowoczesnych budynkach należących do amerykańskiego giganta, firmy We Work.

bEEswQdj
Zobacz także: Ograniczenia w sklepach i gastronomii. Prof. Simon nie gryzie się w język

WeWork to firma międzynarodowa, operator i właściciel ekskluzywnych powierzchni biurowych w największych polskich miastach. Skala przetwarzania danych osobowych tylko na terytorium Unii Europejskiej liczona jest w milionach. Mimo tego firma nie ma Inspektora Ochrony Danych, jak również żadnego innego przedstawiciela na terenie UE, który byłby odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych.

Na stronie internetowej podany jest jedynie telefon kontaktowy w Nowym Yorku. Na maile z prośbą o kontakt nikt nam nie odpowiedział.

bEEswQdp

- Osoby wchodzące do budynku WeWork są przypierane do muru i przymuszane, aby zostawić swoje chronione dane. Inaczej nie zostaną przepuszczone dalej. Nie wiadomo, co się z tymi danymi później dzieje, kto je przetwarza, jak długo są przechowywane? - wylicza pan Maciej z Warszawy, który osobiście przeszedł procedurę weryfikacji w Legency Tower.

Postanowił wprost zapytać o to WeWork. Po długim okresie oczekiwania odpowiedź w końcu nadeszła. Po angielsku.

- Odpisali mi z takim amerykańskim luzem, bym się tym nie martwił, bo moje dane są w dobrych, czyli ich rękach. Powodem ich zbierania jest interes prawny ich klientów. Nie piszą natomiast ani słowa, jakie dane zebrali, kto je przechowuje i gdzie oraz jak długo będą jeszcze przetwarzane - komentuje pan Maciej.

W odpowiedzi przesłanej do pana Macieja przez WeWork w języku angielskim czytamy: "Gromadzimy ograniczoną ilość danych osobowych (np. nazwisko i zdjęcie) naszych gości w celu kontroli osób nieupoważnionych do wejścia do biur naszych klientów. Aby zrobić to skutecznie, WeWork potrzebuje podstawowych informacji i zdjęcia. Informacje te są przetwarzane w celu ochrony naszego prawnie uzasadnionego interesu bezpieczeństwa, zgodnie z RODO".

bEEswQdq

Pan Maciej uznał, że odpowiedź Amerykanów jest wymijająca i złożył skargę na WeWork do Urzędu Ochrony Danych Osobowych.

Zaznacza przy tym, że nie tylko on czuje się z tym źle, że nie ma wglądu do swoich danych chronionych. Podobne opinie przekazali mu również pracownicy z firm, które w budynku przy ul. Prostej 20 wynajmują powierzchnie biurowe.

Zdaniem Damiana Stachyra, eksperta ochrony danych osobowych i prezesa zarządu spółki Inspektorzy ODO, samo zainstalowanie takiego systemu nie jest niezgodne w prawem, natomiast firma, która wprowadza takie narzędzia kontroli dostępu, musi zważyć, czy nie są one nadmiarowe wobec celu, jakim jest ochrona interesów ich klientów. A co ważniejsze, czy nie naruszają one podstawowych praw i wolności osób fizycznych.

bEEswQdr

- W sytuacji, gdy dochodzi do przetwarzania danych osobowych, administrator tych danych zobowiązany jest wypełnić obowiązek informacyjny wobec osób, których dane te dotyczą. WeWork nie wypełnia tego obowiązku zarówno w odniesieniu do opisanego systemu rejestracji osób, jak i w odniesieniu do systemu monitoringu wizyjnego w swoich biurowcach – jest to naruszenie, którego wyjaśnieniem powinien zająć się Prezes Urzędu Ochrony Danych Osobowych – ocenia Stachyra.

Rzecznik prasowy Urzędu Ochrony Danych Osobowych Adam Sanocki potwierdza, że niedawno wpłynęła do nich skarga od osoby fizycznej na WeWork.

"Obecnie sprawa ta jest analizowana. Warto dodać, że skierowana do prezesa Urzędu Ochrony danych Osobowych skarga inicjuje postępowanie administracyjne. O szczegółach związanych z toczącymi się postępowaniem zawiadamiane są jedynie strony tego postępowania bądź ich pełnomocnicy" - czytamy w mailu przesłanym do redakcji.

Z fast foodu wyciekł grafik

UODO bardzo oszczędnie wypowiada się również o sprawie innego amerykańskiego giganta, sieci McDonald’s. Urząd bada również ich przypadek.

bEEswQds

Kilka tygodni temu informowaliśmy, że wyniku błędu sieć udostępniła dane osobowe swoich pracowników, w tym numery PESEL oraz informacje dotyczące powodu nieobecności w pracy danego pracownika.

- Naruszenie prawa polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy – przypomina rzecznik UODO i dodaje, że prezes UODO prowadzi obecnie działania mające na celu ustalenie dokładnych okoliczności zdarzenia. "Organ nadzorczy analizując sprawę, zwrócił się do spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych" - napisał Sanocki. UODO chce też wiedzieć, czy sieć monitorowała ich działanie.

Biuro prasowe McDonald's informuje, że 22 lipca firma otrzymała zgłoszenie o naruszeniu danych osobowych. "Niezwłocznie przystąpiliśmy do zabezpieczenia danych oraz wyeliminowania możliwości dostępu do nich. (...) Wyniki audytu wskazują na omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze" - czytamy w komunikacie przesłanym nam przez sieć.

"Podjęliśmy szereg działań, aby poinformować o zdarzeniu osoby, których dane mogły zostać ujawnione. Uruchomiliśmy specjalną infolinię, dzięki której można było uzyskać szczegółowe informacje na temat podjętych działań, zakresu danych, a także kroków jakie powinni podjąć, aby chronić się przed potencjalnym zagrożeniem wynikającym z tej sytuacji." - czytamy dalej w mailu do money.pl. McDonald's podkreśla, że sytuacja ta nie dotyczyła danych gości.

"Ubolewamy, że doszło do tej sytuacji i jednocześnie zapewniamy, że we współpracy z agencją obsługującą nas w zakresie narzędzia, dokonaliśmy wszelkich niezbędnych kroków, aby zabezpieczyć dane pracowników" - podsumowuje biuro prasowe koncernu.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
bEEswQdK
Źródło:
money.pl
KOMENTARZE
(71)
sdfsdfsdf
11 miesięcy temu
"Nie piszą natomiast ani słowa, jakie dane zebrali, kto je przechowuje i gdzie oraz jak długo będą jeszcze przetwarzane - komentuje pan Maciej." rzeciez oni maja OBOWIAZEK PODANAI WLASNIE TYCH INFORMACJI: uzasadnienie zbierania kazdego elementu danych osobowych(kazdy element ma miec uzasadnienie ze potrzebny jest niezbedny do wykonywania biznesu, moim zdaniem email taki nie jest). powiedzenia gdzie sa przechowywane, czy i jak sa zabezpieczone, jak dlugo beda przechowywane . Maja je zniszczyc kiedy juz nie sa potrzebne albo wczesniej na zadanie osoby ktorej dotycza. Inaczej beda placili milionowe kary. To firma ma wskazac administratora danych osobowych/osobe odpowiedzialna za administracje i udzielanie powyzszych informacji, a nie zeby ludzie mieli sami szukac i dzwonic nie wiadomo gdzie. Spokojnie pytajcie o to, a jak nie powiedza to od razu grozic im pozwem sadowym za lamanie RODO,
polka
11 miesięcy temu
A kiedy RODO lub jak mu tam UODO zajmie się danymi ogólnie dostępnymi w KRS. Chodzi o imiona, nazwiska oraz pesel (dodajcie jeszcze adres i numery kont).
mmm
11 miesięcy temu
Obcy boja sie
bEEswQdL
Polak
11 miesięcy temu
Jeśli nie odpowiadają to zrobić którą rozprawę i przywalić miliard dolarów kary. Jeśli w 2 tygodnie nie zapłacą to zająć budynki i znów miliard kary.
Przecież RODO...
11 miesięcy temu
TVP Kurskiego nie została ukarana!
...
Następna strona