Łukasz Kulicki
RADCA PRAWNY
Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
TL;DR: Prezes Urzędu Ochrony Danych Osobowych nałożył blisko 17 milionów złotych kary na McDonald’s Polska, brutalnie przypominając rynkowi, że umowa powierzenia nie jest polisą zwalniającą z odpowiedzialności. Decyzja UODO (sygn. DKN.5130.4179.2020) dowodzi, że brak rzetelnej weryfikacji dostawcy, zaniechanie realnego nadzoru i ignorowanie zasady minimalizacji danych to prosta recepta na finansową i wizerunkową katastrofę. Ten artykuł to dogłębna analiza błędów, które popełniono, oraz instrukcja, jak uchronić przed nimi Twoją organizację.
Rekordowa kara UODO – McDonald’s Polska zapłaci blisko 17 milionów złotych
Historia tego naruszenia zaczyna się od pozornie błahego błędu: nieprawidłowej konfiguracji serwera. Skutkiem było jednak ujawnienie danych pracowników sieci restauracji, w tym ich imion, nazwisk, a nawet numerów PESEL i paszportów, w publicznie dostępnym katalogu.
Prezes UODO zareagował z całą surowością, nakładając 16.932.657 zł kary na McDonald’s Polska jako administratora oraz 183 858 zł na firmę 24/7 Communication, która pełniła rolę podmiotu przetwarzającego. Decyzja organu nadzorczego stanowi bezcenny materiał poglądowy, demaskując serię zaniedbań na każdym etapie współpracy obu podmiotów.
Dlaczego UODO ukarał obie firmy?
Decyzja bezlitośnie obala popularny mit, jakoby podpisanie umowy powierzenia przenosiło ciężar odpowiedzialności na procesora. Zgodnie z art. 28 RODO, administrator nie tylko musi wybrać podmiot dający wystarczające gwarancje, ale również aktywnie nadzorować jego działania. W tym przypadku zawiedli obaj. Administrator, McDonald’s, zaniechał fundamentalnych obowiązków weryfikacyjnych i nadzorczych. Z kolei procesor, 24/7 Communication, nie wdrożył odpowiednich środków technicznych i organizacyjnych, czego skutkiem była fatalna w skutkach awaria. UODO jasno pokazał, że odpowiedzialność jest wspólna, a wina rozkłada się na obie strony, które zignorowały swoje ustawowe obowiązki.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Jak błędy na etapie wyboru procesora przesądziły o katastrofie?
Kaskada błędów rozpoczęła się na długo przed samym incydentem – już na etapie wyboru partnera. McDonald’s powierzył krytyczne z perspektywy bezpieczeństwa zadanie zarządzania danymi pracowniczymi firmie, z którą dotychczas współpracował w obszarze public relations. Decyzja UODO wykazuje, że administrator danych nie przeprowadził rzetelnej analizy ryzyka ani nie zweryfikował, czy partner marketingowy posiada kompetencje i zabezpieczenia niezbędne do przetwarzania tak wrażliwych informacji.
To podręcznikowy przykład naruszenia Art. 28 ust. 1 RODO. Zamiast zadawać kluczowe pytania o polityki bezpieczeństwa, wyniki testów penetracyjnych czy procedury zarządzania incydentami, oparto się na dotychczasowej, niezwiązanej z IT relacji biznesowej.
Gdy umowa powierzenia istnieje tylko w teorii
Sama umowa powierzenia, choć zawarta, okazała się dokumentem fasadowym. Administrator nie korzystał z przysługującego mu prawa do audytu i kontroli procesora. Co więcej, nie zażądał nawet dostępu administracyjnego do systemu, w którym przetwarzano dane jego pracowników, cedując pełną kontrolę na zewnętrzny podmiot. Sytuację pogarszał fakt, że procesor korzystał z usług dalszego podmiotu, nie zawierając z nim wymaganej umowy podpowierzenia. To pokazuje, że bez realnych, cyklicznych działań weryfikacyjnych, umowa staje się jedynie martwym zapisem, który nie zapewnia żadnej faktycznej ochrony.
Zasada minimalizacji w praktyce
Organ nadzorczy zwrócił uwagę na jeszcze jeden krytyczny aspekt: naruszenie zasady minimalizacji danych. W systemie do zarządzania grafikami, jako unikalny identyfikator pracownika, figurował numer PESEL. To dana osobowa generująca wysokie ryzyko, podczas gdy do celu, jakim była identyfikacja pracownika, w zupełności wystarczyłby dedykowany, wewnętrzny numer ID. Dopiero po incydencie wdrożono to proste i bezpieczniejsze rozwiązanie. Sprawa ta dowodzi, że każda organizacja musi regularnie zadawać sobie pytanie: ,,Czy wszystkie dane, które przetwarzamy, są nam absolutnie niezbędne do osiągnięcia celu?”.
Rola, której zignorować nie wolno: Gdzie wtedy był Inspektor Ochrony Danych?
Decyzja UODO podkreśla również istotne zaniedbanie organizacyjne. Inspektor Ochrony Danych (IOD) w McDonald’s nie został włączony w proces analizy i wyboru podmiotu przetwarzającego. To kluczowy błąd, ponieważ ekspertyza IOD mogłaby na wczesnym etapie zidentyfikować ryzyka związane z powierzeniem danych firmie bez odpowiedniego zaplecza technicznego. Pominięcie Inspektora w kluczowych decyzjach dotyczących ochrony danych ograniczyło możliwość zapobieżenia naruszeniu i stanowi sygnał ostrzegawczy dla innych organizacji.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
Lekcja dla franczyzodawców: Kiedy odpowiadasz za dane pracowników swoich partnerów?
Postępowanie UODO przyniosło również ważną wykładnię dotyczącą modeli franczyzowych. Organ uznał, że McDonald’s Polska był administratorem danych nie tylko własnych pracowników, ale również pracowników swoich franczyzobiorców. Dlaczego? Ponieważ jako właściciel i twórca systemu do zarządzania grafikami, to on decydował o celach i sposobach przetwarzania danych, narzucając narzędzie i jego funkcjonalności całej sieci. To ważna przestroga dla wszystkich podmiotów, które dostarczają swoim partnerom biznesowym scentralizowane systemy IT.
Ogromna kara dla McDonald’s Polska: Jak uniknąć tych błędów?
Sprawa McDonald’s to nie odosobniony incydent, lecz studium przypadku, z którego każda organizacja powinna wyciągnąć wnioski. Aby uniknąć podobnego losu, należy porzucić iluzję „papierowego RODO” na rzecz kultury aktywnego zarządzania bezpieczeństwem. Wymaga to fundamentalnej zmiany myślenia: od postrzegania zgodności jako kosztu, do traktowania jej jako inwestycji w zaufanie i stabilność biznesu. Zrewiduj swoje procedury weryfikacji dostawców, uczyń z audytów realne narzędzie kontroli, bezwzględnie stosuj zasadę minimalizacji i wreszcie – traktuj swojego Inspektora Ochrony Danych jako kluczowego partnera w zarządzaniu ryzykiem. To jedyna droga, by w erze cyfrowej odpowiedzialności spać spokojnie.
Ochrona danych osobowych – Kancelaria After Legal
Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Przetwarzanie danych osobowych wciąż budzi wiele wątpliwości u administratorów. Wskazanie przesłanki legitymizującej taką operację nie zawsze będzie proste. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy.