W wyniku nieprawidłowości w systemie zarządzania grafikami pracy, do internetu trafiły dane osobowe pracowników restauracji, w tym także franczyzobiorców. Na liście ujawnionych informacji znalazły się m.in. imiona i nazwiska, numery PESEL i paszportów, dane o godzinach pracy, stanowiskach i dniach wolnych. Za incydent odpowiada zarówno McDonald’s, jak i firma zewnętrzna – 24/7 Communication – której powierzono obsługę systemu.
"Prezes UODO Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł)" – można przeczytać w oświadczeniu na stronie Urzędu Ochrony Danych Osobowych.
Co poszło nie tak?
McDonald’s powierzył zarządzanie danymi zewnętrznemu dostawcy usług, jednak – jak ustalił UODO – nie przeprowadził analizy ryzyka, nie zadbał o odpowiednie zabezpieczenia, ani nie nadzorował przetwarzania danych zgodnie z przepisami. Kluczowy moduł służący do układania grafików nie miał nawet panelu administracyjnego, a dostęp do konfiguracji systemu posiadała jedynie firma 24/7 Communication.
Do naruszenia doszło w wyniku nieprawidłowej konfiguracji serwera, który umożliwił dostęp do bazy danych każdemu użytkownikowi internetu. Ani McDonald’s, ani jego podwykonawca nie zauważyli tego na czas – dopiero po fakcie zaczęto wdrażać niezbędne zabezpieczenia.
Błędy w zarządzaniu i brak umów
Kontrola wykazała również, że firma 24/7 Communication korzystała z usług kolejnego podwykonawcy, nie podpisując z nim wymaganej umowy o dalszym powierzeniu danych. To kolejny poważny błąd – według UODO, takie działania są niezgodne z RODO. Ponadto McDonald’s nie poinformował bezpośrednio wszystkich poszkodowanych – byli pracownicy dowiadywali się o incydencie z komunikatów prasowych. Taka forma – jak wskazał UODO – nie spełnia wymogu bezpośredniego zawiadomienia, co skończyło się dodatkowym upomnieniem dla spółki.
Urząd zwrócił także uwagę, że Inspektor Ochrony Danych (IOD) nie był włączony w procesy związane z wyborem partnera technologicznego i oceną ryzyka. Taka praktyka – według przepisów – ogranicza możliwości skutecznej ochrony danych i zapobiegania incydentom.
Oświadczenie McDonald's
Do decyzji UODO odniosła się również w specjalnym komunikacie sieć McDonald's. Czytamy w nim, że sytuacja dotyczy incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. "Obecnie analizujemy jej treść. Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów" – wskazuje firma.
"Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych. Do dziś nie odnotowaliśmy przypadków nieuprawnionego wykorzystania danych objętych incydentem" – czytamy w oświadczeniu.
Czytaj też:
Trzaskowski w tarapatach. UODO wszczyna postępowanieCzytaj też:
Posłowie PiS będą mieli kłopoty? UODO przyjrzy się ich konferencji prasowej
Polecamy Państwu „DO RZECZY+”
Na naszych stałych Czytelników czekają: wydania tygodnika, miesięcznika, dodatkowe artykuły i nasze programy.
Zapraszamy do wypróbowania w promocji.