Ogromna kara dla McDonald's Polska. Oto powód

Prezes UODO Mirosław Wróblewski nałożył na McDonald's Polska kary w łącznej wysokości 16 932 657 zł. Upomniał też firmę za naruszenie przepisów o ochronie danych osobowych. W tej samej sprawie nałożył kary na podmiot przetwarzający dane - spółkę 24/7 Communication - w łącznej kwocie 183 858 zł.

Jak informuje Urząd, McDonald's Polska powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy.

"Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu" - wyjaśnia Urząd Ochrony Danych Osobowych.

McDonald’s Polska Sp. z o.o. zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald's i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy" - wyjaśnia UODO.

Urząd ocenił, że zabrakło należytego nadzoru nad powierzonymi danymi osobowymi. Tłumaczy, że do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd jego zawartości, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe.

"Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów" - informuje firma McDonald's w przesłanym do redakcji oświadczeniu.

"Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych" - dodaje firma.

I informuje, że do dziś nie odnotowała "przypadków nieuprawnionego wykorzystania danych objętych incydentem".