Rekordowa kara dla McDonald’s Polska. Ujawniono powód

Prezes UODO nałożył na McDonald's Polska kary finansowe za naruszenie przepisów o ochronie danych osobowych. Wysokość kar wyniosła łącznie ponad 16,9 mln zł. Sprawa dotyczyła niewłaściwego zarządzania danymi pracowników. Chodzi o incydent z 2020 roku.

McDonald's Restaurant In Krakow A view of McDonald's restaurant in Krakow, Poland on April 19, 2024. (Photo by Jakub Porzycki/NurPhoto via Getty Images) NurPhoto company, fast-food, inside, mcdonalds, april 19, jakub porzycki, nurphoto, franchise, burgers, fries, global chain, american cuisine, quick service, food industry, golden arches, drive-thru, fast-casual, soft drinks, milkshakes, breakfast menu, international brand, food photography, photojournalism, travel destination, cultural iconRekordowa kara dla McDonald’s Polska. Ujawniono powód
Źródło zdjęć: © Getty Images | Jakub Porzycki
Jakub Artych
Jakub Artych

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, nałożył na McDonald's Polska kary w wysokości ponad 16,9 mln zł za naruszenie przepisów dotyczących ochrony danych osobowych.

Kary dotknęły również firmę 24/7 Communication, która przetwarzała dane na zlecenie McDonald's.

"Już by mnie nie było". Bijatyka w Radomiu. Kolumbijczyk zatrzymany
"Już by mnie nie było". Bijatyka w Radomiu. Kolumbijczyk zatrzymany

McDonald's Polska powierzył przetwarzanie danych osobowych pracowników zewnętrznej firmie, co doprowadziło do ich ujawnienia w publicznie dostępnym katalogu.

Dalsza część artykułu pod materiałem wideo

Wicepremier z Polski 2050? Jednak ma być, wiadomo kiedy

Dane obejmowały m.in. imiona, nazwiska, numery PESEL oraz szczegóły dotyczące czasu pracy. Brak odpowiednich zabezpieczeń i analizy ryzyka przyczynił się do tego incydentu - czytamy w komunikacie UODO.
Starcie na rynku w Gorlicach. Policja użyła gazu
Starcie na rynku w Gorlicach. Policja użyła gazu

W toku postępowania ustalono, że McDonald's nie przeprowadził wymaganej analizy ryzyka ani nie wdrożył odpowiednich środków technicznych i organizacyjnych. Podmiot przetwarzający, 24/7 Communication, również nie zapewnił odpowiedniego poziomu bezpieczeństwa danych, co było jednym z powodów nałożenia kar.

Konsekwencje dla McDonald's

Oprócz kar finansowych McDonald's otrzymał upomnienie za brak bezpośredniego zawiadomienia osób, których dane zostały naruszone. Zawiadomienia były realizowane jedynie poprzez komunikaty prasowe, co nie spełniało wymogów bezpośredniego powiadomienia.

"Wstydź się, Chorwacjo". Aż chwyciła za telefon
"Wstydź się, Chorwacjo". Aż chwyciła za telefon

Nałożone kary nie są jeszcze prawomocne. Zarówno McDonald’s Polska, jak i agencja 24/7 Communication mają prawo odwołać się od decyzji do sądu. UODO zwrócił uwagę na konieczność przestrzegania zasady minimalizacji danych, co w tym przypadku zostało zaniedbane.

Do kary ze strony UODO ustosunkowała się firma McDonald's w Polsce, która przesłała naszej redakcji swoje oświadczenie w tej sprawie.

"Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść.

Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów.

Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych.

Do dziś nie odnotowaliśmy przypadków nieuprawnionego wykorzystania danych objętych incydentem" - czytamy w oświadczeniu.

Źródło artykułu: o2pl
Wybrane dla Ciebie
Atak zimy w Warmińsko-Mazurskiem. Szkoły zawieszają zajęcia
Atak zimy w Warmińsko-Mazurskiem. Szkoły zawieszają zajęcia
Taki widok w irańskiej telewizji. "Tym razem kula nie chybi"
Taki widok w irańskiej telewizji. "Tym razem kula nie chybi"
Ekspercka krzyżówka o pogodzie. Ile haseł odkryjesz?
Ekspercka krzyżówka o pogodzie. Ile haseł odkryjesz?
"Dość tolerowania tego na drogach". Mocne słowa o kierowcach TIR-ów
"Dość tolerowania tego na drogach". Mocne słowa o kierowcach TIR-ów
Co wiesz o ochronie granic? Sprawdź się w wymagającej krzyżówce
Co wiesz o ochronie granic? Sprawdź się w wymagającej krzyżówce
Awantura na drodze w Krakowie. Kierowca wyjął gaz
Awantura na drodze w Krakowie. Kierowca wyjął gaz
Był bohaterem Putina. Tak postąpił z nim Kreml
Był bohaterem Putina. Tak postąpił z nim Kreml
15-latek leżał w zaspie przy -7 stopniach. Miał dwa promile alkoholu
15-latek leżał w zaspie przy -7 stopniach. Miał dwa promile alkoholu
Szokująca kradzież w solarium. Kobiecie grozi 5 lat więzienia
Szokująca kradzież w solarium. Kobiecie grozi 5 lat więzienia
Jechał ulicą na nartach z silnikiem na plecach. Policja zabrała głos
Jechał ulicą na nartach z silnikiem na plecach. Policja zabrała głos
Odkrycie na terenie firmy w Gdańsku. Ta historia łamie serce
Odkrycie na terenie firmy w Gdańsku. Ta historia łamie serce
Od laboratoriów do wojska. Innowacje w Chinach
Od laboratoriów do wojska. Innowacje w Chinach