McDonald’s Polska zgłosiła prezesowi UODO incydent, w wyniku którego osoby postronne mogły uzyskać dostęp do pliku zawierającego dane pracowników i franczyzobiorców. Były to: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku PESEL), numery restauracji McDonald’s, szczegółowe dane dotyczące grafiku pracy (m.in. daty i godziny rozpoczęcia oraz zakończenia pracy).

Plik z tymi danymi znalazł się w publicznym katalogu. Przyczyną okazała się nieprawidłowa konfiguracja serwera, umożliwiająca podgląd jego zawartości - w tym kopii bazy danych z aplikacji do tworzenia grafików pracowniczych.

McDonald’s powierzył dane agencji PR

Przetwarzanie danych osobowych, do których naruszenia doszło, McDonald’s Polska (administrator danych) powierzył zewnętrznej firmie 24/7 Communication (podmiot przetwarzający dane). To agencja public relations, która obok swoich głównych usług oferowała też moduł do zarządzania grafikami pracy.

Podmiot przetwarzający jako jedyny miał uprawnienia do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. McDonald’s nigdy nie zwrócił się o udzielenie mu dostępu. Ponadto, jak twierdzi UODO, nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi – w szczególności nie realizował postanowień umowy w zakresie realizacji audytu i inspekcji. Z kolei podmiot przetwarzający, jak czytamy w komunikacie organu, „nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych”. UODO twierdzi, że podmiot ten nie uznawał powierzonych mu danych za zasób, za który odpowiada.

UODO, badając tę sprawę, przypomniał, że zarówno administrator, jak i podmiot przetwarzający, mają obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Wdrożenie tych środków nie jest działaniem jednorazowym, ale procesem - administrator i podmiot przetwarzający powinni dokonywać bieżącego przeglądu i w razie potrzeby uaktualniać przyjęte wcześniej zabezpieczenia. Tymczasem, jak czytamy w komunikacie, „obowiązek regularnego testowania, mierzenia i oceniania nie został wprost ujęty w polityce ochrony danych opracowanej przez podmiot przetwarzający i ostatecznie nie był w żaden sposób realizowany”.

>> Czytaj także: ​Prezes UODO znowu apeluje o wyodrębnienie stanowiska IOD w służbie cywilnej

Stwierdzone naruszenia

Kontrola UODO wykazała, że

• ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka ani nie wdrożyli środków technicznych i organizacyjnych odpowiednich do skali przetwarzania;
• podmiot przetwarzający przy przetwarzaniu powierzonych mu danych korzystał z usług innego podmiotu, z którym nie zawarł umowy dalszego powierzenia (naruszenie art. 28 ust. 4 i 9 RODO). Dopiero na etapie badania sprawy przez organ nadzorczy podpisano odpowiednią umowę;
• administrator i podmiot przetwarzający nie włączali inspektora ochrony danych (IOD) we wszystkie sprawy dotyczące ochrony danych osobowych (naruszenie art. 38 ust. 1 RODO). W McDonald’s IOD nie uczestniczył w analizie kwalifikacji i zasadności wyboru podmiotu przetwarzającego;
• administrator nie zweryfikował podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych i oparł się jedynie na wcześniejszej współpracy w zakresie PR (naruszenie art. 28 ust. 1 RODO);
• dopiero po incydencie w systemie do zarządzania czasem pracy dane takie jak numery PESEL i numery paszportów zostały zastąpione numerami identyfikacyjnymi. Tymczasem, zgodnie z zasadą minimalizacji (art. 5 ust. 1 lit. c RODO) oraz obowiązkiem wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 25 ust. 1 RODO), administrator powinien dążyć do przetwarzania tylko tych danych, które są niezbędne dla osiągnięcia celu.

Franczyza i powierzenie nie zwalniają z bycia administratorem

Prezes UODO zbadał też to, czy McDonald’s jest administratorem danych osobowych pracowników swoich franczyzobiorców. Jak stwierdził, „administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu”.

McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców. Zarówno zawieranie umów z 24/7 Communication, jak i przekazywanie informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s. W związku z tym „ nie sposób było uznać, aby rola McDonald’s we wzajemnych relacjach z 24/7 Communication i podmiotami będącymi franczyzobiorcami McDonald’s, była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników franczyzobiorców”. Co za tym idzie, za naruszenie danych pracowników franczyzobiorców to McDonald’s odpowiada tak jak administrator na gruncie przepisów RODO.

Postępowanie UODO wykazało, że naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający. Organ przypomina jednak, że powierzenie przetwarzania danych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa.