2 dni temu
Prezes Urzędu Ochrony Danych Osobowych (UODO) Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości prawie 17 mln zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych.
W tej samej sprawie prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł).
Ujawnienie danych osobowych w publicznie dostępnym katalogu
McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu.
Okoliczności zdarzenia
McDonald’s Polska Sp. z o.o. (dalej również McDonald’s lub administrator) zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Administrator ustalił, iż w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
Umowa powierzenia
McDonald’s zawarł z 24/7 Communication Sp. z o.o. (dalej: 24/7 Communication lub podmiot przetwarzający) umowę o świadczenie usług w zakresie public relations (umowa główna), obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu. Administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu.
Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi.
Zaniedbania w analizie ryzyka i zabezpieczeniach
W toku postępowania organ nadzorczy zwrócił uwagę, iż obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego. Wdrożenie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale procesem, w ramach którego administrator i podmiot przetwarzający dokonują bieżącego przeglądu i w razie potrzeby uaktualniają przyjęte wcześniej zabezpieczenia.
Obowiązek regularnego testowania, mierzenia i oceniania nie został wprost ujęty w polityce ochrony danych opracowanej przez podmiot przetwarzający i ostatecznie nie był w żaden sposób realizowany. Również podmiot przetwarzający nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych dzięki modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. Powyższy obowiązek wynika z przepisów i nie może być wyłączany w oparciu o wykładnię postanowień umowy zawartej między administratorem i podmiotem przetwarzającym. Jednocześnie, do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd zawartości tego serwera, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe.
Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający
Ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania. Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający.
Czy franczyzobiorców można uznać za administratorów?
W toku postępowania Prezes UODO zbadał też to, czy McDonald’s można również uznać za administratora danych osobowych pracowników franczyzobiorców McDonald’s, którzy również zgłosili naruszenie ochrony danych osobowych, związane z tożsamym incydentem bezpieczeństwa. Prezes UODO wskazał, iż administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu. McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców i jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności systemu oraz sposoby ich przetwarzania w postaci choćby zakresu gromadzonych danych osobowych.
Zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom za pośrednictwem McDonald’s
McDonald’s dokonał wyboru podmiotu przetwarzającego, tj. 24/7 Communication, któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy. Zarówno zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s. Okoliczności te wyznaczają status administratora i nie sposób było uznać, aby rola McDonald’s we wzajemnych relacjach z 24/7 Comunnication i podmiotami będącymi franczyzobiorcami McDonald’s, była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników franczyzobiorców, a co za tym idzie była obojętna dla przyjęcia odpowiedzialności przez McDonald’s, jaką ponosi administrator na gruncie przepisów RODO, za naruszenie ochrony danych osobowych również pracowników franczyzobiorców McDonald’s.
