McDonald’s Polska otrzymał karę wynoszącą blisko 17 milionów złotych od Urzędu Ochrony Danych Osobowych za naruszenie przepisów o ochronie danych osobowych - przekazał Urząd. Jak dodał doprowadzono do "ujawnienia danych osobowych w publicznie dostępnym katalogu".
"Prezes UODO nałożył na McDonald’s Polska karę 16,93 mln zł oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych - poinformował Urząd Ochrony Danych osobowych w komunikacie. W tej samej sprawie prezes UODO nałożył też kary na 24/7 Communication w łącznej kwocie 183,9 tys. zł.
McDonald’s Polska powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy - wyjaśniło UODO.
"Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu" - napisano.
Postępowanie
"Ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania. Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający" - przekazał Urząd.
Wskazano, że w toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego.
"McDonald’s zawarł z 24/7 Communication (...) umowę o świadczenie usług w zakresie public relations (...), obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w 'module grafik pracowniczy' i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu" - wyjaśniono.
Jak dodano "administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu".
Stanowisko firmy
W wydanym w poniedziałek komunikacie spółka McDonald's Polska poinformowała, że analizuje decyzję prezesa UODO. "Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść" - poinformowała spółka.
Spółka zaznaczyła, że podjęła działania, aby zminimalizować wpływ incydentu z 2020 roku. Podkreśliła, że naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku.
"W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych" - przekazała.
McDonald's Polska zaznaczył, że do dziś nie odnotował przypadków nieuprawnionego wykorzystania danych objętych incydentem.
Źródło: PAP
Źródło zdjęcia głównego: McDonald’s