Odpowiedzialność za bezpieczeństwo danych osobowych – kara nałożona na McDonald’s Polska Sp. z o.o.
Z powierzeniem przetwarzania danych osobowych mamy do czynienia w sytuacji, w której administrator, określając sposób realizacji oznaczonych przez siebie celów przetwarzania danych, powierza innemu, zewnętrznemu podmiotowi przetwarzanie danych w swoim imieniu (podmiotowi przetwarzającemu /procesorowi). Najczęściej taka sytuacja ma miejsce wówczas, gdy administrator w określonej dziedzinie korzysta z pomocy zewnętrznych specjalistów. Klasycznymi przykładami usług objętych powierzeniem przetwarzania danych osobowych są usługi prowadzenia czy przechowywania dokumentacji podatkowej, księgowej, kadrowej i medycznej na zlecenie klienta (administratora), usługi hostingowe, obsługi w zakresie IT.
Chociaż usługi te zlecane są zazwyczaj specjalistycznym firmom, które najlepiej znają (lub powinny znać) prawidłowe metody i praktyki świadczenia usługi, w tym przetwarzania danych, zasadniczo za bezpieczeństwo danych osobowych zawsze w pierwszej kolejności odpowiada administrator.
RODO
Zgodnie z Artykułem 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora przez inny podmiot jest on zobowiązany korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Oznacza to, że przed wyborem dostawcy określonych usług, Administrator ma obowiązek sprawdzić, czy podmiot ten będzie przetwarzać dane zgodnie z RODO i innymi przepisach ochrony danych osobowych. Wg Wytycznych Europejskiej Rady Ochrony Danych (EROD) 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO, elementami, które należy wziąć pod uwagę, winny być:
- wiedza fachowa podmiotu przetwarzającego (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych);
- wiarygodność podmiotu przetwarzającego;
- zasoby podmiotu przetwarzającego oraz
- stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji.
Tu – dobrą i już dość powszechnie stosowaną praktyką – jest pozyskiwanie przez administratorów, przed nawiązywaniem stosunku prawnego z procesorem, zaświadczeń o legitymowaniu się normą ISO lub innych norm w zakresie bezpieczeństwa informacji, składania różnego rodzaju oświadczeń dot. stosowanych środków bezpieczeństwa danych osobowych itp.
EROD
EROD idzie jednak dalej, stwierdzając, że taka kontrola podmiotów przetwarzających co do „zapewnienia wystarczających gwarancji” jest ciągłym obowiązkiem administratora tj. trwającym przez cały czas powierzania przetwarzania danych osobowych. Innymi słowy: nie kończy się on w momencie zawarcia umowy powierzenia, ale powinien być realizowany w odpowiednich odstępach czasu poprzez różnego rodzaju audyty i inspekcje.
Takiego działania nie potrafiła wykazać spółka McDonald’s Polska Sp. z o.o., na którą 23 czerwca 2025 r. prezes UODO nałożył karę pieniężną w łącznej wysokości 16 932 657 zł oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (decyzja DKN.5130.4179.2020).
McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Błędna konfiguracja serwera doprowadziła do ujawnienia danych osobowych w publicznie dostępnym katalogu.
McDonald’s Polska Sp. z o.o. zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
Chociaż McDonald’s zawarł z 24/7 Communication Sp. z o.o. umowę powierzenia przetwarzania danych osobowych, to postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji procesora, nie były realizowane.
Administrator wyjaśniał, że cały proces, w tym obsługa, została przez niego zlecona podmiotowi przetwarzającemu, a on sam nie posiadał odrębnego panelu administracyjnego (chociaż istniała taka możliwość). Natomiast podmiot przetwarzający tłumaczył, że nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych za pomocą modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. W związku z tym – ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania, co doprowadziło do naruszenia.
Podsumowując
Z powyższej decyzji administratorzy powinni wyciągnąć następujące wnioski:
- Dobór podwykonawców musi uwzględniać bezpieczeństwo powierzanych do przetwarzania danych osobowych; w żadnym razie administrator nie może przekazać danych osobowych, za które odpowiada niesprawdzonemu podmiotowi przetwarzającemu,
- W umowach należy szczegółowo określić wzajemne obowiązki stron, też w zakresie zabezpieczenia danych osobowych,
- Konieczne jest zawarcie umowy powierzenia przetwarzania,
- Konieczne jest regularne badanie i testowanie podmiotu przetwarzającego co do stosowanych przez niego środków bezpieczeństwa danych osobowych.
Źródło: PUODO
Kontakt
Jeśli potrzebują Państwo wsparcia prawnego w zakresie ochrony danych osobowych – zapraszamy do kontaktu z Kancelarią.
Małgorzata Zysk
