1. Zakres powierzenia i organizacja dostępu: Zgodnie z umową zawartą z McDonald’s, spółka świadczyła kompleksową usługę zarządzania wewnętrzną platformą komunikacyjną, w tym również aplikacją grafików pracy. Moduł ten znajdował się na środowisku serwerowym zarządzanym przez spółkę, jednak nie był traktowany jako usługa strategiczna ani o podwyższonym poziomie ryzyka.
2. Migracja danych i udział osoby trzeciej: W styczniu 2019 r., po zgłoszeniu awarii i konieczności migracji systemu grafików, zrealizowano przeniesienie danych z wykorzystaniem usług informatyka będącego wykonawcą zewnętrznym. Migracja polegała na tymczasowym pobraniu danych (w tym również danych osobowych) na komputer lokalny i przesłaniu ich na nowy serwer za pomocą protokołu FTP. McDonald’s był informowany o współpracy z tym wykonawcą i nigdy nie zgłosił sprzeciwu wobec jego zaangażowania.
3. Brak działań prewencyjnych: Przed incydentem nie przeprowadzano testów, audytów ani analiz ryzyka w odniesieniu do tego konkretnego modułu – ani z inicjatywy spółki, ani na zlecenie administratora. Audyt bezpieczeństwa został przeprowadzony dopiero 7 grudnia 2020 r., po wykryciu naruszenia. Spółka rozważała zlecenie analizy ryzyka zewnętrznemu podmiotowi certyfikowanemu zgodnie z normą ISO 27001, jednak z uwagi na rezygnację administratora z korzystania z usługi oraz polecenie trwałego usunięcia danych – analiza ta nie została wdrożona.
4. Usunięcie danych i zakończenie świadczenia usług: Zgodnie z żądaniem administratora z dnia 8 stycznia 2021 r., aplikacja grafików została wyłączona 11 stycznia 2021 r., a wszystkie dane osobowe usunięto trwale do dnia 19 stycznia 2021 r.. Moduł aplikacyjny został zachowany wyłącznie w wersji pozbawionej jakichkolwiek danych osobowych, co zostało potwierdzone w dokumentacji przekazanej administratorowi.
5. Nałożenie kary: Zgodnie z decyzją Prezesa UODO, na McDonald’s została nałożona kara pieniężna w wysokości:

• • 94.286 PLN za brak wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych,,
  • 42.429 PLN za wykonywanie powierzonych czynności przetwarzania przez podmiot trzeci bez nałożenia na ten podmiot obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych,
  • 47.143 PLN za brak zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

1. Wykonywanie analizy ryzyka: Rekomenduje się regularne przeprowadzanie analizy ryzyka, dostosowując środki techniczne i organizacyjne do charakteru przetwarzania oraz poziomu zagrożeń.
2. Regularne testowanie i ocena środków ochrony danych: Zaleca się prowadzenie cyklicznych testów i ocen skuteczności zastosowanych środków technicznych i organizacyjnych, zgodnie z art. 32 ust. 1 lit. d) RODO. Brak takich działań stanowi kluczowy czynnik ryzyka, szczególnie w systemach takich jak aplikacje kadrowe przetwarzające dane wrażliwe.
3. Zawieranie umów podpowierzenia przetwarzania danych osobowych: W przypadku dalszego powierzenia przetwarzania danych osobowych kolejnym podmiotom (podpowierzenie), należy zawierać szczegółowe umowy określające zakres, cel i czas trwania przetwarzania, zobowiązania podmiotu podpowierzającego oraz wymagania dotyczące bezpieczeństwa i kontroli realizacji tych obowiązków. Dokumentacja podpowierzenia powinna być zgodna z art. 28 RODO, musi w jasny sposób regulować uprawnienia i odpowiedzialność wszystkich stron oraz umożliwiać realizację audytów i kontroli zgodnie z wymaganiami administratora danych oraz organów nadzorczych.
4. Zapewnienie aktywnego udziału IOD w kluczowych procesach: Inspektor ochrony danych osobowych powinien być systematycznie angażowany w proces wyboru podmiotu przetwarzającego, ocenę ryzyka, dobór środków ochrony oraz ocenę zgodności na każdym etapie przetwarzania danych – czego zabrakło w analizowanym przypadku. Obecność IOD przy decyzjach operacyjnych stanowi warunek dochowania należytej staranności.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu