1. Zlecenie i konfiguracja systemu bez kontroli administratora: McDonald’s Polska Sp. z o.o. zawarł z 24/7 Communication Sp. z o.o. umowę usług public relations, obejmującą zarządzanie komunikacją wewnętrzną i aplikacjami – w tym modułem grafików pracowników McDonald’s oraz 31 franczyzobiorców. Administrator nie posiadał dostępu do systemu, w którym znajdował się moduł grafików, a nadzór w pełni przekazano podmiotowi przetwarzającemu, który traktował moduł jako obce technologicznie aktywo i nie prowadził jego analizy.
2. Naruszenie ochrony danych w wyniku błędów migracyjnych: W styczniu 2019 r. podjęto próbę migracji systemu grafików, w ramach której dane pracowników zostały skopiowane na komputer prywatny osoby trzeciej oraz przesłane bez odpowiedniej kontroli na nowy serwer. Osoba ta nie została formalnie włączona jako podprocesor w sposób zgodny z przepisami ani objęta odpowiednimi zabezpieczeniami organizacyjnymi.
3. Skala naruszenia: W wyniku nieprawidłowej konfiguracji serwera, na którym umieszczono aplikację do grafików pracowniczych, doszło do udostępnienia pliku zawierającego dane osobowe w katalogu publicznym. Plik ten był dostępny z Internetu bez zabezpieczeń od 15 stycznia 2019 r. do 22 lipca 2020 r. Każdy użytkownik, przechodząc na stronę główną aplikacji, mógł uzyskać dostęp do struktury katalogów i plików – w tym również do niezaszyfrowanej bazy danych. Analiza logów serwera wykazała, że plik był przeglądany z wielu unikalnych adresów IP pochodzących z różnych krajów, m.in. Polski, USA, Rosji i Francji, co potwierdza skalę ujawnienia.
4. Zaniechanie testów i audytów przed ujawnieniem naruszenia: Ani administrator, ani podmiot przetwarzający nie testowali skuteczności środków ochrony danych w czasie rzeczywistym funkcjonowania systemu. Pierwszy audyt bezpieczeństwa przeprowadzono dopiero po ujawnieniu incydentu, 7 grudnia 2020 r., co było działaniem reaktywnym, a nie prewencyjnym.
5. Niedopełnienie obowiązków administratora: McDonald’s powierzając obsługę narzędzia do wyświetlania grafików pracowniczych 24/7 Communication nie sprawował właściwej kontroli oraz nadzoru nad realizacją tej usługi i wdrożeniem środków bezpieczeństwa. Ponadto nie zweryfikował, czy podmiot przetwarzający zastosował odpowiednie zabezpieczenia techniczne oraz organizacyjne, nie egzekwował też obowiązku regularnego testowania, analizowania oraz oceniania skuteczności środków ochrony – co wymagają zarówno umowa powierzenia przetwarzania danych, jak i przepisy art. 28 i 32 RODO.
6. Rezygnacja z aplikacji po wykryciu naruszenia: Po ujawnieniu naruszenia McDonald’s wycofał się z używania aplikacji do wyświetlania grafików, zlecając trwałe usunięcie przetwarzanych danych oraz samego narzędzia z zasobów podmiotu przetwarzającego. Potwierdzono usunięcie danych i odłączenie od systemu.
7. Nałożenie kary: Zgodnie z decyzją Prezesa UODO, na McDonald’s została nałożona kara pieniężna w wysokości:

• • 1.632.063 PLN za nieprawidłowe przeprowadzenie weryfikacji podmiotu przetwarzającego przed zawarciem umowy powierzenia przetwarzania danych osobowych,
  • 13.600.528 PLN za brak wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych,
  • 1.700.066 PLN za brak zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

1. Wdrożenie skutecznych mechanizmów nadzoru nad podmiotami przetwarzającymi: Administrator powinien ustanowić procedury bieżącej kontroli działań podmiotów przetwarzających oraz egzekwować wywiązywanie się z obowiązków wynikających z umowy powierzenia przetwarzania danych, w tym audytów, testów i oceny ryzyka zgodnych z art. 28 i 32 RODO. Kluczowe znaczenie ma rzetelna weryfikacja podprocesorów i dokumentowanie zgód na ich udział.
2. Zapewnienie aktywnego udziału IOD w kluczowych procesach: Inspektor ochrony danych osobowych powinien być systematycznie angażowany w proces wyboru podmiotu przetwarzającego, ocenę ryzyka, dobór środków ochrony oraz ocenę zgodności na każdym etapie przetwarzania danych – czego zabrakło w analizowanym przypadku. Obecność IOD przy decyzjach operacyjnych stanowi warunek dochowania należytej staranności.
3. Regularne testowanie i ocena środków ochrony danych: Zaleca się prowadzenie cyklicznych testów i ocen skuteczności zastosowanych środków technicznych i organizacyjnych, zgodnie z art. 32 ust. 1 lit. d) RODO. Brak takich działań stanowi kluczowy czynnik ryzyka, szczególnie w systemach takich jak aplikacje kadrowe przetwarzające dane wrażliwe.
4. Prowadzenie i aktualizacja dokumentacji ochrony danych: Całość działań podejmowanych w zakresie przetwarzania, w tym korespondencja i ustalenia techniczne, powinna być dokumentowana i integrowana z ogólną dokumentacją ochrony danych (rejestr czynności, umowy, procedury).
5. Wyraźne określenie zakresu odpowiedzialności i architektury IT: Systemy krytyczne – jak aplikacje do grafików – powinny posiadać wydzielone mechanizmy zarządzania dostępem i panel administracyjny. Brak takiej architektury technicznej utrudnia nadzór i zabezpieczenie danych oraz przyczynia się do nieuprawnionego dostępu.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu