W McDonald’s w Polsce naruszanie polegało na nieuprawnionym dostępie do informacji zawartych w narzędziu do wyświetlania grafików pracy pracowników restauracji.

Organ nadzorczy analizując sprawę, zwrócił się do Spółki o złożenie wyjaśnienia okoliczności w jaki sposób doszło do umieszczenia pliku zawierającego dane osobowe na publicznie dostępnym katalogu.

Ponadto Urząd wyjaśnia, jakie środki organizacyjne i techniczne , mające zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów i pracowników Spółki są zastosowanie przez McDonald’s w Polsce.

Z przesłanego przez Okręgowy Inspektorat Pracy w Katowicach zgłoszenia natomiast wynika, że pracownik PIP przekazał osobie nieuprawionej teczkę zawierającą dokumentację z kontroli podmiotu. Dokumentacja zawierała m.in. dane osobowe w postaci: imienia, nazwiska, numeru ewidencyjnego PESEL oraz danych dotyczących zarobków i/lub posiadanego majątku.

Prezes UODO na podstawie  uzyskanych z innych źródeł informacji , przypuszcza, że  naruszenie może dotyczyć danych innych nie tylko osób  wskazanych w formularzu zgłoszeniowym,  naruszeniem mogło zostać objętych znacznie więcej podmiotów.

Ewentualne kolejne działania UODO będą uzależnione od dalszych informacji przekazanych przez administratorów danych w celu ustalenia wszelkich okoliczności w tych sprawach, po uzyskaniu których organ nadzorczy podejmie dalsze kroki.