McDonald's zapłaci prawie 17 milionów złotych kary. UODO ukarał sieć za wyciek wrażliwych danych pracowników

Spis treści

1. Jak doszło do wycieku danych?
2. Brak nadzoru i analizy ryzyka
3. Konsekwencje finansowe i organizacyjne
4. Działania naprawcze McDonald's

Incydent, który miał miejsce w 2020 roku, dotyczył nieuprawnionego dostępu do danych osobowych pracowników zatrudnionych w restauracjach McDonald's w Polsce między majem 2014 a styczniem 2019 roku. W publicznie dostępnym katalogu znalazły się nie tylko imiona i nazwiska, ale również numery PESEL, numery paszportów, informacje o miejscu pracy, godzinach pracy i zajmowanych stanowiskach.

Jak doszło do wycieku danych?

Problem powstał przez błędną współpracę McDonald's Polska z firmą PR-ową 24/7 Communication. Sieć restauracji zawarła z nią umowę na prowadzenie działań public relations, a następnie powierzyła tej samej firmie przetwarzanie danych osobowych pracowników w systemie grafików pracowniczych.

Kluczowym błędem było to, że McDonald's Polska nie posiadał uprawnień do zarządzania systemem informatycznym – całość została zlecona firmie zewnętrznej. Dodatkowo podmiot przetwarzający korzystał z usług kolejnej firmy bez odpowiedniej umowy, która została podpisana dopiero po wykryciu naruszenia przez organ nadzorczy.

Brak nadzoru i analizy ryzyka

UODO wskazał na szereg zaniedbań ze strony McDonald's Polska:

• Brak weryfikacji partnera – spółka nie sprawdziła, czy firma PR-owa ma odpowiednie zabezpieczenia do ochrony danych osobowych.
• Niewykonanie analizy ryzyka – nie przeanalizowano potencjalnych zagrożeń wynikających z powierzenia danych zewnętrznej firmie.
• Pominięcie inspektora ochrony danych – nie włączono go w proces wyboru podmiotu przetwarzającego ani w nadzór nad systemem grafików.
• Nadmierne dane w systemie – oprócz niezbędnych informacji o czasie pracy, system zawierał również wrażliwe dane osobowe pracowników.

Konsekwencje finansowe i organizacyjne

Prezes UODO Mirosław Wróblewski nałożył na McDonald's Polska trzy oddzielne kary o łącznej wartości 16 932 657 złotych. Dodatkowo spółka otrzymała upomnienie za niewłaściwe powiadomienie byłych pracowników o naruszeniu – zamiast bezpośredniego kontaktu firma ograniczyła się do komunikatów prasowych.

Firma 24/7 Communication, jako podmiot przetwarzający, również została ukarana – musi zapłacić 183 858 złotych.

Działania naprawcze McDonald's

W odpowiedzi na decyzję UODO, McDonald's Polska poinformował o podjętych krokach naprawczych. Spółka zrezygnowała z problematycznego narzędzia do wyświetlania grafików pracy, przeprowadziła niezależne audyty bezpieczeństwa i wzmocniła wewnętrzne procedury ochrony danych.

Firma podkreśla, że transparentnie współpracowała z Urzędem podczas postępowania i do dziś nie odnotowała przypadków nieuprawnionego wykorzystania danych objętych incydentem z 2020 roku.

Co to oznacza dla Ciebie:

• Twoje dane w miejscu pracy mogą być narażone – pracodawcy często korzystają z zewnętrznych firm do obsługi systemów HR, co zwiększa ryzyko wycieków
• Sprawdzaj powiadomienia o naruszeniu danych – jeśli pracowałeś w McDonald's w latach 2014-2019, mogłeś być objęty tym incydentem
• Firmy ponoszą realne konsekwencje finansowe – kary UODO sięgają milionów złotych, co pokazuje wagę ochrony danych osobowych
• Numery PESEL i paszportów to szczególnie wrażliwe informacje – ich wyciek może prowadzić do kradzieży tożsamości lub innych przestępstw
• Masz prawo do informacji o naruszeniu – pracodawcy muszą bezpośrednio powiadomić pracowników o wyciekach danych, a nie tylko przez media
• Warto sprawdzać, jak firma zabezpiecza twoje dane – szczególnie przy zmianie pracy lub podpisywaniu nowych umów