Źródło grafiki: https://pixabay.com/photos/french-fries-chips-potato-fresh-6208782/
Prawie 17 mln złotych kary musi zapłacić McDonald’s Polska Sp. z o.o. Wszystko przez naruszenie przepisów o ochronie danych osobowych.
Jak poinformowano w oficjalnym komunikacie, Prezes UODO w toku prowadzonego postępowania ustalił, że McDonald’s Polska Sp. z o.o. dopuściła się szeregu naruszeń w przedmiocie ochrony danych osobowych. Oprócz spółki ukarany został również podmiot przetwarzający, któremu McDonald’s powierzył przetwarzanie danych osobowych pracowników sieci restauracji. Zgodnie z wydaną w dniu 23 czerwca 2025 roku decyzją, Prezes UODO nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł).
Jak wskazuje UODO, McDonald’s zawarł z 24/7 Communication Sp. z o.o. (tj. podmiotem przetwarzającym) umowę o świadczenie usług w zakresie public relations (umowa główna), obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu. Jak ustalono, Administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Jak wskazuje Prezes UODO, moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu. Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Jak ustalono, Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi.
Z ustaleń organu wynika, że ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania. Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający.Tymczasem obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego, co nie jest działaniem jednorazowym, ale procesem, w ramach którego administrator i podmiot przetwarzający dokonują bieżącego przeglądu i w razie potrzeby uaktualniają przyjęte wcześniej zabezpieczenia.
Jak ustalił organ nadzorczy, obowiązek regularnego testowania, mierzenia i oceniania nie został wprost ujęty w polityce ochrony danych opracowanej przez podmiot przetwarzający i ostatecznie nie był w żaden sposób realizowany. Również podmiot przetwarzający nie zapewniał odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych za pomocą modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. Tymczasem, jak podkresla UODO, powyższy obowiązek wynika z przepisów i nie może być wyłączany w oparciu o wykładnię postanowień umowy zawartej między administratorem i podmiotem przetwarzającym. Jednocześnie, do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd zawartości tego serwera, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe.
Stwierdzając naruszenie konkretnych przepisów organ wskazuje, że w przedmiotowej sprawie przy przetwarzaniu powierzonych danych osobowych podmiot przetwarzający korzystał z usług innego podmiotu, z którym nie zawarł umowy dalszego powierzenia przetwarzania danych osobowych. Dopiero po wystąpieniu naruszenia i na etapie badania sprawy przez organ nadzorczy podpisano odpowiednią umowę, mimo że zgodnie z RODO (art. 28 ust. 4 i 9) i zawartą umową obowiązek ten istniał wcześniej. Ponadto administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). Jak wskazuje organ, w McDonald’s IOD nie był włączony w analizę kwalifikacji i zasadności wyboru podmiotu przetwarzającego i w przetwarzanie danych związanych z modułem grafików. Pominięcie IOD ograniczyło możliwość zapobieżenia naruszeniu.
Prezes UODO wskazuje również, powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami RODO (art. 24, art. 25 oraz art. 32 ust. 1 i 2). Tymczasem Administrator nie przeprowadził wymaganej analizy ryzyka i nie uwzględnił zagrożeń wynikających z korzystania z usług podmiotu przetwarzającego. Postępowanie wykazało, że spółka McDonald’s nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych – oparto się jedynie na wcześniejszej współpracy w zakresie PR. Tym samym naruszono art. 28 ust. 1 RODO , który wymaga, by przetwarzanie w imieniu administratora odbywało się przez podmioty przetwarzające, zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą.
W przedmiotowej sprawie kluczowy był rownież zakres przetwarzania danych osobowych. Zgodnie z zasadą minimalizacji, Administrator powinien poddać ocenie zakres przetwarzanych danych osobowych pod kątem ograniczenia tego zakresu tylko do danych, które są niezbędne dla osiągniecia celu przetwarzania danych, co wynika z treści art. 25 ust. 1 oraz art. 5 ust. 1 lit. c RODO. tymczasem Zamiast danych niezbędnych do ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy, w systemie znalazły się także PESEL i numery paszportów. Dane te służyły jako identyfikator zapewniający w sposób jednoznaczny identyfikację pracownika. Jak podano, dopiero po incydencie dane te zostały zastąpione numerami identyfikacyjnymi. Czynność zastąpienia jednej danej, która generuje wysokie ryzyko, inną daną, taką jak numer identyfikacyjny, wpisuje się w zasadę minimalizacji danych.
Prezes UODO zwrócił również uwagę na formę zawiadomienia o naruszeniu danych osobowych. Wprawdzie Administrator słusznie uznał, że w wyniku naruszenia ochrony danych osobowych doszło do wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i powiadomił osoby dotknięte tym zdarzeniem, jednak forma zawiadomienia była różna. Byłych pracowników administrator zawiadomił jedynie poprzez wykupienie dwóch komunikatów prasowych. W ocenie Prezesa UODO, wskazana forma zawiadomienia nie może zostać uznana za bezpośrednie zawiadomienie o naruszeniu ochrony danych osobowych. Za brak bezpośredniego zawiadomienia byłych pracowników organ nadzorczy udzielił Administratorowi upomnienia.
Jak podano w oficjalnym komunikacie, w toku postępowania Prezes UODO zbadał też to, czy McDonald’s można również uznać za administratora danych osobowych pracowników franczyzobiorców McDonald’s, którzy także zgłosili naruszenie ochrony danych osobowych, związane z tożsamym incydentem bezpieczeństwa. Prezes UODO wskazał, że administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu. McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców i jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności oprogramowania oraz sposoby ich przetwarzania w postaci choćby zakresu gromadzonych danych osobowych. Ponadto McDonald’s dokonał wyboru podmiotu przetwarzającego, któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy. Jak wskazano, zarówno zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s. Powyższe okoliczności nie były więc obojętne dla przyjęcia odpowiedzialności przez McDonald’s, jaką ponosi administrator na gruncie przepisów RODO, za naruszenie ochrony danych osobowych również pracowników franczyzobiorców McDonald’s.
Źródło:
Decyzja Prezesa UODO z 23 czerwca 2025 r., DKN.5130.4179.2020, https://orzeczenia.uodo.gov.pl/
Komunikat UODO, https://uodo.gov.pl/pl/138/3827
____________________________________
Treści publikowane w serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło. Wykorzystywanie zawartości serwisu internetowego PlanetaPrawo.pl jako danych treningowych AI jest zabronione.
PlanetaPrawo.pl - przepisy, praktyczne komentarze, orzecznictwo, marketing prawniczy
Polub nas na Facebooku, obserwuj nas na Twitterze oraz Instagramie
Poświadczenie daty w prawie cywilnym
2024-11-20 14:59
Wnioskujesz o wakacje kredytowe? Oto najczęstsze problemy
2022-09-07 21:00
Zawarcie ugody powinno kończyć postępowanie dyscyplinarne lekarzy
2022-08-06 13:35
Dowody zawierające informacje niejawne w postępowaniu sądowym
2023-02-11 15:50
Wakacyjny poradnik: Czym jest pełnomocnictwo pocztowe?
2024-07-19 10:00
Urzędy przechodzą na e-Doręczenia
2024-12-13 10:00
