Rekordowa kara dla McDonald’s Polska. Ujawniono powód

Prezes UODO nałożył na McDonald's Polska kary finansowe za naruszenie przepisów o ochronie danych osobowych. Wysokość kar wyniosła łącznie ponad 16,9 mln zł. Sprawa dotyczyła niewłaściwego zarządzania danymi pracowników. Chodzi o incydent z 2020 roku.

McDonald's Restaurant In Krakow A view of McDonald's restaurant in Krakow, Poland on April 19, 2024. (Photo by Jakub Porzycki/NurPhoto via Getty Images) NurPhoto company, fast-food, inside, mcdonalds, april 19, jakub porzycki, nurphoto, franchise, burgers, fries, global chain, american cuisine, quick service, food industry, golden arches, drive-thru, fast-casual, soft drinks, milkshakes, breakfast menu, international brand, food photography, photojournalism, travel destination, cultural iconRekordowa kara dla McDonald’s Polska. Ujawniono powód
Źródło zdjęć: © Getty Images | Jakub Porzycki
Jakub Artych
Jakub Artych

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, nałożył na McDonald's Polska kary w wysokości ponad 16,9 mln zł za naruszenie przepisów dotyczących ochrony danych osobowych.

Kary dotknęły również firmę 24/7 Communication, która przetwarzała dane na zlecenie McDonald's.

"Już by mnie nie było". Bijatyka w Radomiu. Kolumbijczyk zatrzymany
"Już by mnie nie było". Bijatyka w Radomiu. Kolumbijczyk zatrzymany

McDonald's Polska powierzył przetwarzanie danych osobowych pracowników zewnętrznej firmie, co doprowadziło do ich ujawnienia w publicznie dostępnym katalogu.

Dalsza część artykułu pod materiałem wideo

Wicepremier z Polski 2050? Jednak ma być, wiadomo kiedy

Dane obejmowały m.in. imiona, nazwiska, numery PESEL oraz szczegóły dotyczące czasu pracy. Brak odpowiednich zabezpieczeń i analizy ryzyka przyczynił się do tego incydentu - czytamy w komunikacie UODO.
Starcie na rynku w Gorlicach. Policja użyła gazu
Starcie na rynku w Gorlicach. Policja użyła gazu

W toku postępowania ustalono, że McDonald's nie przeprowadził wymaganej analizy ryzyka ani nie wdrożył odpowiednich środków technicznych i organizacyjnych. Podmiot przetwarzający, 24/7 Communication, również nie zapewnił odpowiedniego poziomu bezpieczeństwa danych, co było jednym z powodów nałożenia kar.

Konsekwencje dla McDonald's

Oprócz kar finansowych McDonald's otrzymał upomnienie za brak bezpośredniego zawiadomienia osób, których dane zostały naruszone. Zawiadomienia były realizowane jedynie poprzez komunikaty prasowe, co nie spełniało wymogów bezpośredniego powiadomienia.

"Wstydź się, Chorwacjo". Aż chwyciła za telefon
"Wstydź się, Chorwacjo". Aż chwyciła za telefon

Nałożone kary nie są jeszcze prawomocne. Zarówno McDonald’s Polska, jak i agencja 24/7 Communication mają prawo odwołać się od decyzji do sądu. UODO zwrócił uwagę na konieczność przestrzegania zasady minimalizacji danych, co w tym przypadku zostało zaniedbane.

Do kary ze strony UODO ustosunkowała się firma McDonald's w Polsce, która przesłała naszej redakcji swoje oświadczenie w tej sprawie.

"Otrzymaliśmy decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą incydentu z 2020 roku, kiedy doszło do nieuprawnionego dostępu do danych osobowych części pracowników restauracji McDonald’s w Polsce. Obecnie analizujemy jej treść.

Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów.

Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych.

Do dziś nie odnotowaliśmy przypadków nieuprawnionego wykorzystania danych objętych incydentem" - czytamy w oświadczeniu.

Źródło artykułu: o2pl
Wybrane dla Ciebie
Ghislaine Maxwell powoła się na Piątą Poprawkę ws. Epsteina. Prawnik przemówił
Ghislaine Maxwell powoła się na Piątą Poprawkę ws. Epsteina. Prawnik przemówił
Kontrola w piekarni i hurtowni warzyw. Zatrzymano 30 osób
Kontrola w piekarni i hurtowni warzyw. Zatrzymano 30 osób
Rolnik z Wielkopolski sprzedaje za 1 zł. Wysyłka na całą Polskę
Rolnik z Wielkopolski sprzedaje za 1 zł. Wysyłka na całą Polskę
Starcia w Australii. Policja musiała użyć gazu pieprzowego
Starcia w Australii. Policja musiała użyć gazu pieprzowego
Horror w Indiach. Tak wyglądała eksplozja balonów z gazem w windzie
Horror w Indiach. Tak wyglądała eksplozja balonów z gazem w windzie
Sama się pochwaliła. Tyle miała na liczniku na wjeździe do miasta
Sama się pochwaliła. Tyle miała na liczniku na wjeździe do miasta
Nowy węzeł na S19. Żurobice zyskają lepszą komunikację
Nowy węzeł na S19. Żurobice zyskają lepszą komunikację
Księża odwiedzili 66 proc. rodzin w parafii. Zebrana kwota robi wrażenie
Księża odwiedzili 66 proc. rodzin w parafii. Zebrana kwota robi wrażenie
Ze Śląska nad Adriatyk. Wizz Air uruchamia nowe połączenie
Ze Śląska nad Adriatyk. Wizz Air uruchamia nowe połączenie
Policjant złapał złodzieja. Nie uwierzysz, jak go rozpoznał
Policjant złapał złodzieja. Nie uwierzysz, jak go rozpoznał
Pijany pilot rozbił szybowiec. Sprawą zajmie się sąd
Pijany pilot rozbił szybowiec. Sprawą zajmie się sąd
Krzyżówka z historii Polski. Znasz dzieje Piastów? Sprawdź się
Krzyżówka z historii Polski. Znasz dzieje Piastów? Sprawdź się