UODO ukarał McDonald’s: Poważne naruszenia ochrony danych pracowników

McDonald’s Polska Sp. z o.o zleciła zarządzanie grafikiem pracy zewnętrznej firmie, którą było 27/4 Communication Sp. z o.o. Choć głównym przedmiotem umowy były usługi z zakresu Public Relations, zdecydowano się również na przekazania firmie danych osobowych, zawartych w „module grafik pracowniczy”.

McDonald’s Polska Sp. z o.o.  zostało ukarane na łączną kwotę w wysokości 16 932 657 zł, natomiast podmiot przetwarzający - 24/7 Communication Sp. z o.o w łącznej kwocie 183 858 zł .

Według komunikatu UODO wśród udostępnionych w pliku w publicznym katalogu były następujące dane:

• imiona i nazwiska,
• numery PESEL,
• numery paszportów (w przypadku braku numeru PESEL),
• numery restauracji McDonald’s,
• daty i godziny rozpoczęcia pracy,
• daty i godziny zakończenia pracy,
• liczby przepracowanych godzin,
• stanowiska,
• dni wolne,
• rodzaj dnia oraz rodzaj pracy.

Dotyczyło to pracowników McDonald’s oraz franczyznobiorców.

Administrator danych nie posiadał dostępu do zarządzania zasobami we wspomnianym module i jak podkreśla UODO, nigdy nie wystąpił o utworzenie odrębnego panelu administracyjnego i przyznanie do niego uprawnień.

UODO wskazuje na zaniedbania w polityce firmy

Podczas postępowania zwrócono uwagę, że w polityce ochrony danych opracowanych przez firmę przetwarzającą nie przewidziano obowiązku regularnego testowania i aktualizowania zabezpieczeń.

Nie przeprowadzono również ryzyka poziomu bezpieczeństwa danych osobowych, które miały być przetwarzane w module grafików. Nie możliwe było więc dostosowanie środków ochrony do typu i skali przetwarzanych danych.  Jak wskazano podmiot przetwarzający nie czuł się zobowiązany do realizacji wspomnianej oceny ryzyka, co jest niezgodne z prawem. Skutkiem był fakt, że ta analiza nie została przeprowadzona.

„Do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd zawartości tego serwera, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe” – czytamy w komunikacie UODO

McDonald's nie dopełniło obowiązku administratora danych

McDonald’s nie zdecydowało się na weryfikację firmy 24/7 Communication pod kątem jej zdolności do zabezpieczenia danych. Zostały one jej powierzone ze względu na trwającą współpracę z zakresu usług PR.

UODO podkreśla, że „ powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami RODO (art. 24, art. 25 oraz art. 32 ust. 1 i 2).”

McDonald's po raz drugi

Na łamach Cyberdefence24.pl opisywaliśmy podobną sytuację, która dotyczyła systemów rekrutacyjnych McDonald’s. Wyposażenie systemu w model sztucznej inteligencji zostało powierzone zewnętrznej firmie Paradox.ai. W łatwy sposób można było uzyskać dane osób ubiegających się o pracę. Ustawione hasło w panelu administracyjnym składało się z ciągu cyfr „123456”.

Dostęp do tak szerokiej listy informacji czy w przypadku McDonald’s Polska czy systemu rekrutacyjnego McHire stwarza realne zagrożenie dla prywatności oraz bezpieczeństwa danych wielu osób.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].