Zaloguj się 
Dzieje się!
Udostępnij przez e-mail UODO nałożył na McDonald's karę na blisko 17 mln zł
Urząd Ochrony Danych Osobowych nałożył na McDonald's Polska karę w wysokości 16,93 mln zł. Grzywnę będzie musiała zapłacić również firma 24/7 Communication, której sieć restauracji zleciła m.in. zarządzanie grafikami pracowników. Urząd doszukał się jednak szeregu zaniedbań, w tym braku odpowiednich umów.
"McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu" - można przeczytać w komunikacie UODO.
Wśród danych, które zostały udostępnione znalazły się m.in. imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
Informacje te McDonald's przekazał spółce 24/7 Communication, z którą podpisał umowę główną o świadczenie usług w zakresie public relations, obok której zawarł umowę powierzenia przetwarzania danych osobowych, będącą podstawą do stworzenia systemu grafiku pracowniczego. Według UODO problem polegał na tym, że zadanie to zlecono innemu podmiotowi - administratorowi serwisu - który nie miał uprawnień do przetwarzania danych dostarczonych przez sieć restauracji, bo te posiadała firma 24/7 Communication.
"Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu. [...] Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi" - poinformował UODO w komunikacie.
Do tego dochodziły inne błędy firm. Brak umów na przetwarzanie danych, brak weryfikacji podmiotu, który te dane będzie przetwarzał czy zaniedbanie w analizie ryzyka i zabezpieczeń, na wypadek próby kradzieży danych.
Czytaj więcej: Oświadczenie 24/7 Communication i McDonald's
