Prezes UODO nałożył na McDonald’s Polska rekordową karę pieniężną w wysokości niemal 17 milionów złotych za szereg naruszeń przepisów o ochronie danych osobowych. To druga najwyższa kara administracyjna w historii polskiego organu nadzorczego, która pokazuje, jak kosztowne mogą być zaniedbania w obszarze ochrony danych osobowych.
Geneza sprawy - wyciek danych pracowników
W lipcu 2020 roku doszło do poważnego incydentu bezpieczeństwa. W wyniku błędnej konfiguracji serwera, dane osobowe pracowników McDonald’s oraz franczyzobiorców znalazły się w publicznie dostępnym katalogu internetowym. Wykradziony plik zawierał wrażliwe dane: imiona i nazwiska, numery PESEL, numery paszportów, szczegółowe grafiki pracy oraz informacje o stanowiskach. Dostęp do tych danych mógł uzyskać każdy użytkownik internetu.
Kluczowe błędy administratora
1. Niewłaściwy wybór podmiotu przetwarzającego
McDonald’s powierzył przetwarzanie danych osobowych firmie 24/7 Communication - agencji PR, która dodatkowo oferowała moduł do zarządzania grafikami pracowniczymi. Organ nadzorczy stwierdził, że administrator nie dokonał rzetelnej weryfikacji tego podmiotu pod kątem zdolności do zabezpieczenia danych. Wybór oparto jedynie na wcześniejszej współpracy w zakresie public relations, bez sprawdzenia kompetencji technicznych.
2. Brak analizy ryzyka i odpowiednich zabezpieczeń
Zarówno McDonald’s, jak i podmiot przetwarzający nie przeprowadzili wymaganej analizy ryzyka dla procesu przetwarzania danych w aplikacji do zarządzania grafikami. Konsekwencją tego było niewdrożenie adekwatnych środków technicznych i organizacyjnych. UODO podkreślił, że bez analizy ryzyka niemożliwe jest określenie właściwych zabezpieczeń.
3. Brak nadzoru nad powierzeniem
McDonald’s nie sprawował należytego nadzoru nad powierzonymi danymi. Firma nigdy nie przeprowadziła audytu u podmiotu przetwarzającego, mimo że umowa powierzenia przewidywała taką możliwość. Administrator nie miał nawet dostępu do panelu administracyjnego systemu i nigdy o taki dostęp nie występował.
4. Naruszenie zasady minimalizacji danych
System zawierał nadmiarowe dane - numery PESEL i paszportów wykorzystywane były jedynie jako identyfikatory pracowników. Dopiero po incydencie zastąpiono je zwykłymi numerami identyfikacyjnymi, co UODO uznał za działanie spóźnione.
Odpowiedzialność podmiotu przetwarzającego
UODO nałożył również karę na podmiot przetwarzający (24/7 Communication) w wysokości ponad 183 tysięcy złotych. Organ podkreślił, że obowiązki wynikające z RODO mają charakter publicznoprawny i nie mogą być wyłączone umową czy ograniczeniami budżetowymi. Podmiot przetwarzający:
- Nie przeprowadził analizy ryzyka
- Nie wdrożył odpowiednich zabezpieczeń
- Korzystał z usług podwykonawcy bez zawarcia umowy podpowierzenia
- Nie włączał inspektora ochrony danych w kluczowe procesy
Wnioski dla przedsiębiorców
Decyzja UODO stanowi istotną lekcję dla wszystkich administratorów danych:
Weryfikacja podwykonawców - wybór podmiotu przetwarzającego musi być poprzedzony rzetelną analizą jego kompetencji technicznych i organizacyjnych w zakresie ochrony danych.
Analiza ryzyka - to fundament systemu ochrony danych. Bez niej niemożliwe jest wdrożenie adekwatnych zabezpieczeń.
Aktywny nadzór - powierzenie przetwarzania nie zwalnia z odpowiedzialności. Administrator musi regularnie kontrolować sposób przetwarzania danych przez procesorów.
Minimalizacja danych - należy przetwarzać tylko te dane, które są rzeczywiście niezbędne do realizacji celu.
Rola IOD - inspektor ochrony danych powinien być włączany we wszystkie kluczowe procesy związane z przetwarzaniem danych osobowych.
Sprawa McDonald’s pokazuje, że UODO coraz skuteczniej egzekwuje przepisy RODO, a kary mogą sięgać milionów złotych. Warto wyciągnąć wnioski z cudzych błędów i zadbać o właściwe zabezpieczenie danych w swojej organizacji.
Dostęp do tekstu decyzji UODO: DKN.5130.4179.2020.