Rzeczpospolita
Prawo
Reklama

McDonald’s ma zapłacić prawie 17 mln zł kar. Chodzi o wyciek danych pracowników

Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald’s Polska blisko 17 mln zł kar oraz udzielił upomnienia za wyciek danych pracowników.

Publikacja: 21.07.2025 10:33

Wyciekły danych tysięcy pracowników McDonald’s w Polsce

Wyciekły danych tysięcy pracowników McDonald’s w Polsce

Foto: Adobe Stock

Mateusz Adamski

Chodzi o incydent z 22 lipca 2020 roku, kiedy doszło do ujawnienia pliku z serwisu wyświetlającego grafiki pracownicze sieci McDonald’s. Jak wówczas podano, powodem wycieku było "omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze".

Sieć informowała na swojej stronie internetowej, że dane dotyczą osób zatrudnionych w restauracjach McDonald’s w Polsce i u franczyzobiorców w okresie od maja 2014 roku do stycznia 2019 roku. W udostępnionym pliku były takie dane, jak m.in.: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.

W poniedziałek poinformowano, że Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski za ten incydent nałożył na McDonald’s Polska kary w łącznej wysokości 16 mln 932 tys. zł oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication (podmiot przetwarzający) w łącznej kwocie 183 tys. zł.

Co doprowadziło do wycieku danych pracowników McDonald’s Polska

W komunikacie wskazano, że spółka McDonald’s Polska powierzyła przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Do ujawnienia danych osobowych doprowadził zdaniem UODO: brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń oraz realizacji postanowień umowy powierzenia przetwarzania danych osobowych.

Jak czytamy, postępowanie wykazało, że spółka McDonald’s nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych – oparto się jedynie na wcześniejszej współpracy w zakresie PR. „Tym samym naruszono art. 28 ust. 1 RODO , który wymaga, by przetwarzanie w imieniu administratora odbywało się przez podmioty przetwarzające, zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą” - wskazano. 

Reklama
Reklama

UODO podkreślił przy tym, że „powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami RODO (art. 24, art. 25 oraz art. 32 ust. 1 i 2)”. 

Czytaj więcej

Urząd Ochrony Danych Osobowych
Konsumenci
Olbrzymia kara za wyciek danych. UODO nie odpuszcza Morele.net

Czy franczyzobiorców można uznać za administratorów?

W toku postępowania Prezes UODO zbadał też to, czy McDonald’s można również uznać za administratora danych osobowych pracowników franczyzobiorców McDonald’s, którzy również zgłosili naruszenie ochrony danych osobowych, związane z tym incydentem.

W tym kontekście Prezes UODO wskazał, że administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu. „McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców i jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności oprogramowania oraz sposoby ich przetwarzania w postaci choćby zakresu gromadzonych danych osobowych. McDonald’s dokonał wyboru podmiotu przetwarzającego, tj. 24/7 Communication, któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy. Zarówno zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s” - wyliczono. 

Zdaniem Prezesa UODO okoliczności te „wyznaczają status administratora i nie sposób było uznać, aby rola McDonald’s we wzajemnych relacjach z 24/7 Comunnication i podmiotami będącymi franczyzobiorcami McDonald’s, była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników franczyzobiorców, a co za tym idzie była obojętna dla przyjęcia odpowiedzialności przez McDonald’s, jaką ponosi administrator na gruncie przepisów RODO, za naruszenie ochrony danych osobowych również pracowników franczyzobiorców McDonald’s”. 

Czytaj więcej

Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA
Dane osobowe
Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Dane Osobowe Urząd Ochrony Danych Osobowych (UODO)

Chodzi o incydent z 22 lipca 2020 roku, kiedy doszło do ujawnienia pliku z serwisu wyświetlającego grafiki pracownicze sieci McDonald’s. Jak wówczas podano, powodem wycieku było "omyłkowe umieszczenie kopii bazy danych w nieprzeznaczonym do tego folderze".

Sieć informowała na swojej stronie internetowej, że dane dotyczą osób zatrudnionych w restauracjach McDonald’s w Polsce i u franczyzobiorców w okresie od maja 2014 roku do stycznia 2019 roku. W udostępnionym pliku były takie dane, jak m.in.: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.

Pozostało jeszcze 83% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Reklama
Zgodnie z art. 25 ust. 1 p.r.d. kierujący pojazdem, zbliżając się do skrzyżowania, jest obowiązany z
Prawo drogowe
Kiedy na skrzyżowaniu działa zasada „prawej ręki"? Sąd rozstrzygnął spór
Ponad 300 km/h przez Warszawę. Niespodziewany zwrot ws. pirata drogowego
Prawo karne
Ponad 300 km/h przez Warszawę. Niespodziewany zwrot ws. pirata drogowego
Prywatne uczelnie przejmują studentów psychologii. Alarmujący raport
Edukacja i wychowanie
Prywatne uczelnie przejmują studentów psychologii. Alarmujący raport
Były sędzia Trybunału Konstytucyjnego, prezes Polskiego Towarzystwa Prawa Konstytucyjnego prof. Piot
Sądy i trybunały
Prof. Piotr Tuleja: Ustrój Polski się zmienił, wróciliśmy do XIX wieku
Urodzinowa oferta na Škodę Fabia w leasingu dla przedsiębiorców
Materiał Promocyjny
Urodzinowa oferta na Škodę Fabia w leasingu dla przedsiębiorców
Advertisement
Testament notarialny jest sporządzany w obecności notariusza, przez co najtrudniej jest go podważyć
Spadki i darowizny
Ile razy można zmienić testament notarialny i w jakim trybie? Zasady są jasne
Citi Handlowy: Lokaty do 6,4% na łączną kwotę do 420 000 zł. Ważne do 06.08.2025
Materiał Promocyjny
Citi Handlowy: Lokaty do 6,4% na łączną kwotę do 420 000 zł. Ważne do 06.08.2025
Advertisement
Reklama
Reklama
e-Wydanie