Rekordowa kara 17 mln zł dla McDonald’s Polska za wyciek danych

Opublikowane przez: Piotr Czapliński

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na McDonald’s Polska karę w wysokości blisko 17 milionów złotych za poważne naruszenia przepisów RODO. Decyzja ta zapadła w związku z ujawnieniem danych osobowych pracowników i franczyzobiorców sieci fast food, które znalazły się w publicznie dostępnym katalogu. Incydent był efektem błędnej konfiguracji serwera przez zewnętrzną firmę 24/7 Communication, odpowiedzialną za zarządzanie grafikami pracy w McDonald’s. UODO wskazał również na brak analizy ryzyka, niewłaściwe zabezpieczenia danych oraz na nieprawidłowe powiadomienie osób poszkodowanych przez spółkę McDonald’s Polska.

  • Prezes UODO nałożył na McDonald's Polska karę 16,93 mln zł za wyciek danych osobowych pracowników i franczyzobiorców.
  • Wycieku danych dopuściła firma 24/7 Communication, która otrzymała karę ponad 183 tys. zł za błędną konfigurację serwera.
  • Wśród ujawnionych danych znalazły się m.in. imiona, nazwiska, numery PESEL i szczegóły dotyczące grafików pracy.
  • McDonald's nie przeprowadził analizy ryzyka, nie wdrożył odpowiednich zabezpieczeń i nieprawidłowo powiadomił osoby poszkodowane.
  • Decyzja UODO podkreśla odpowiedzialność zarówno administratora danych, jak i podmiotu przetwarzającego.

Ponadto, sankcje nie ominęły także firmy 24/7 Communication, która została ukarana za naruszenia przepisów RODO. Decyzja UODO podkreśla, że odpowiedzialność za bezpieczeństwo danych spoczywa zarówno na administratorze danych, jak i na podmiocie przetwarzającym. Cała sprawa rzuca światło na konieczność starannego nadzoru nad powierzonymi danymi osobowymi oraz odpowiedzialność wszystkich stron za ich ochronę.

Okoliczności wycieku danych osobowych w McDonald’s Polska

Incydent związany z wyciekiem danych osobowych dotyczył ujawnienia informacji o pracownikach i franczyzobiorcach McDonald’s Polska, które zostały umieszczone w publicznie dostępnym katalogu. Portal dorzeczy.pl oraz money.pl potwierdzają, że doszło do znacznego naruszenia prywatności tych osób.

Wśród ujawnionych danych znalazły się imiona i nazwiska, numery PESEL, numery paszportów, a także szczegóły dotyczące godzin pracy, zajmowanych stanowisk oraz dni wolnych. Informacje te, jak podaje dorzeczy.pl oraz ccnews.pl, były dostępne dla każdego internauty, co stanowi poważne zagrożenie dla bezpieczeństwa i prywatności poszkodowanych.

Za wyciek danych odpowiadała zewnętrzna firma 24/7 Communication, która błędnie skonfigurowała serwer odpowiedzialny za moduł zarządzania grafikami pracy. Jak informują ccnews.pl i boop.pl, to właśnie ta nieprawidłowa konfiguracja umożliwiła publiczny dostęp do poufnych informacji.

McDonald’s Polska zgłosił incydent prezesowi UODO, jednak według biznes.interia.pl oraz bankier.pl, spółka nie przeprowadziła odpowiedniej analizy ryzyka ani nie wdrożyła skutecznych zabezpieczeń danych po wykryciu wycieku. Taka postawa naraziła firmę na poważne konsekwencje prawne.

Decyzja Urzędu Ochrony Danych Osobowych i nałożone sankcje

Prezes UODO zdecydował się nałożyć na McDonald’s Polska rekordową karę finansową w wysokości 16,93 miliona złotych. Dodatkowo spółka otrzymała upomnienie za niewłaściwe powiadomienie osób poszkodowanych – jak podają money.pl oraz tvn24.pl.

Firma 24/7 Communication również została ukarana – łączna kwota nałożonych na nią sankcji przekroczyła 183 tysiące złotych. Portal dorzeczy.pl oraz prawo.pl podkreślają, że kara ta wynika z naruszeń przepisów RODO popełnionych przez podmiot przetwarzający dane.

Urząd zwrócił uwagę, że odpowiedzialność za ochronę danych spoczywa zarówno na administratorze, czyli McDonald’s, jak i na podmiocie przetwarzającym, którym jest 24/7 Communication. Jak wskazuje bankier.pl, obie strony powinny dbać o właściwe zabezpieczenia i nadzór nad powierzonymi danymi.

UODO skrytykował sposób, w jaki McDonald’s Polska poinformował osoby poszkodowane – zamiast bezpośrednich powiadomień, firma ograniczyła się do komunikatów prasowych. Ten proceder spotkał się z upomnieniem ze strony Urzędu, jak podaje money.pl.

Konsekwencje i znaczenie decyzji dla ochrony danych osobowych

Decyzja UODO jest jedną z najwyższych kar nałożonych w Polsce za naruszenia RODO. Portal dorzeczy.pl zauważa, że podkreśla ona konieczność właściwego nadzoru nad danymi osobowymi oraz odpowiedzialności wszystkich podmiotów biorących udział w ich przetwarzaniu.

Brak udziału Inspektora Ochrony Danych (IOD) w procesie zarządzania grafikami pracy wpłynął na ograniczenie możliwości oceny ryzyka i przyczynił się do wycieku danych – podaje biznes.interia.pl. To wskazuje na istotną rolę IOD w monitorowaniu i zabezpieczaniu procesów przetwarzania danych.

Sprawa pokazuje także, jak ważne jest zachowanie szczególnej uwagi przy powierzaniu przetwarzania danych zewnętrznym podmiotom. Jak wskazuje boop.pl, administrator danych musi odpowiedzialnie nadzorować swoje procesy i wymagać od podmiotów przetwarzających najwyższych standardów bezpieczeństwa.

McDonald’s Polska odniósł się do decyzji UODO, choć szczegóły jego oświadczenia nie zostały upublicznione. Ta sprawa przypomina jednak wszystkim firmom w Polsce, jak ważne jest przestrzeganie przepisów RODO i odpowiedzialne podejście do ochrony danych osobowych.