McDonald’s Polska ma zapłacić miliony zł kary. Ukarano też jego agencję PR

W komunikacie Urzędu Ochrony Danych Osobowych opisano, że McDonald’s Polska powierzył zewnętrznej firmie przetwarzanie danych osobowych pracowników swoich lokali gastronomicznej. Celem było zarządzanie grafikami pracy.

Uzasadniono, że „brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu”.

>>> Praca.Wirtualnemedia.pl - tysiące ogłoszeń z mediów i marketingu

W ramach postępowania UODO zaznaczył, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego.

Jak upubliczniono dane pracowników i franczyzobiorców McDonald’s

Zaznaczono, że McDonald’s zgłosił prezesowi UODO naruszenie ochrony danych osobowych. – Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców:  imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy – wyliczono.

CZYTAJ TEŻ: McDonald's zawarł ugodę z gigantem medialnym. Sprawa dotyczyła dyskryminacji rasowej

W tej sprawie została ukarana także agencja 24/7 Communication, ponieważ McDonald’s podpisał z nią nie tylko umowę dotyczącą usług public relations, lecz także umowę powierzenia przetwarzania danych osobowych.

W ramach tej drugiej „przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu”.

UODO wskazał poważne zastrzeżenia wobec tej sytuacji. – Administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostęp – opisano.

Zarzuty wobec McDonald’s

W komunikacie podkreślono, że „obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego”.

Tymczasem w ramach postępowania UODO ustalił, że McDonald’s nie zweryfikował 24/7 Communication jako podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych. Oparł się jedynie na wcześniejszej współpracy w zakresie PR.

– Tym samym naruszono art. 28 ust. 1 RODO , który wymaga, by przetwarzanie w imieniu administratora odbywało się przez podmioty przetwarzające, zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą – wskazano.

CZYTAJ TEŻ: Frytki za pół miliona do wygrania w loterii McDonald's

Dodano, że umowa powierzenia nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami RODO (art. 24, art. 25 oraz art. 32 ust. 1 i 2). – Administrator nie przeprowadził wymaganej analizy ryzyka i nie uwzględnił zagrożeń wynikających z korzystania z usług podmiotu przetwarzającego – oceniono.

Zaznaczono, że administrator powinien poddać ocenie zakres przetwarzanych danych osobowych pod kątem ograniczenia tego zakresu tylko do danych, które są niezbędne dla osiągnięcia celu przetwarzania danych. Wynika to  z treści art. 25 ust. 1 (wdrożenie odpowiednich środków technicznych i organizacyjnych) oraz art. 5 ust. 1 lit. c RODO (zasada minimalizacji).

Według UODO zupełnie inaczej było w przypadku McDonald’s i 24/7 Communication. – Zamiast danych niezbędnych do ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy, w systemie znalazły się także PESEL i numery paszportów. Dane te służyły jako identyfikator zapewniający w sposób jednoznaczny identyfikację pracownika – opisano.

– Dopiero po incydencie dane te zostały zastąpione numerami identyfikacyjnymi. Czynność zastąpienia jednej danej, która generuje wysokie ryzyko, inną daną, taką jak numer identyfikacyjny, wpisuje się w zasadę minimalizacji danych – dodano.

McDonald’s Polska i 24/7 Communication z grzywnami

Na McDonald’s Polska została nałożona karę w kwocie 16,93 mln zł, a na 24/7 Communication – 183,9 tys. zł.

Grzywny nie są prawomocne, ukarane firmy mogą odwołać się do sądu.

Szef 24/7 Communication: nieumyślny błąd ludzki

Dirk Aarts, CEO agencji 24/7 Communication, w oświadczeniu przekazanym portalowi Wirtualnemedia.pl podkreślił, że naruszenie wykryte przez UODO dotyczy „narzędzia stworzonego w 2014 roku, a jego bezpośrednią przyczyną był nieumyślny błąd ludzki”. – W czasie prowadzenia postępowania administracyjnego współpracowaliśmy z UODO i pozostawaliśmy w stałym kontakcie z jego przedstawicielami – zapewnił.

Dodał, że agencja w ostatnich latach wprowadziła „szereg istotnych usprawnień w zakresie bezpieczeństwa informacji zgodnie z wytycznymi EDPB, CERT i ENISA”. – Wśród nich m.in. stworzenie dedykowanego działu compliance w agencji oraz rozwój zabezpieczeń IT. Stale podnosimy wiedzę i świadomość naszych pracowników poprzez cykliczne szkolenia, a ponadto prowadzimy wewnętrzne i zewnętrzne audyty kwartalne, realizowane przez specjalistów ds. bezpieczeństwa informacji – wyliczył.

– Chcemy podkreślić, że zdarzenie sprzed lat było jedynym tego typu incydentem w blisko 24-letniej historii agencji. Wyciągnęliśmy wnioski i wdrożyliśmy skuteczne rozwiązania, które gwarantują najwyższe standardy compliance w naszej firmie. Bezpieczeństwo danych klientów, pracowników i partnerów biznesowych jest dla nas absolutnym priorytetem – zaznaczył.