Brak analizy ryzyka kosztował miliony. Co biznes musi wiedzieć o karze dla McDonald’s
29/07/2025
Decyzja Prezesa UODO w sprawie McDonald’s Polska i 24/7 Communication to nie reakcja na pojedynczy incydent. Kara – prawie 17 milionów złotych dla McDonald’s i blisko 200 tysięcy złotych dla jego partnera technologicznego – została nałożona nie za sam wyciek danych, ale za systemowe zaniedbania: brak analizy ryzyka, niewdrożenie adekwatnych zabezpieczeń oraz brak nadzoru nad procesem przetwarzania. Organ nadzorczy jasno zakomunikował, że odpowiedzialność nie kończy się na podpisaniu umowy, a brak kultury ochrony danych może mieć dla firm bardzo kosztowne konsekwencje
.jpg)
Brak analizy ryzyka kosztował miliony. Co biznes musi wiedzieć o karze dla McDonald’s
Brak analizy ryzyka to nie uchybienie – to naruszenie
Zarówno McDonald’s jako administrator, jak i 24/7 Communication jako podmiot przetwarzający, nie przeprowadzili analizy ryzyka związanego z przetwarzaniem danych pracowników w systemie grafików. Taki obowiązek wynika wprost z art. 32 ust. 1 RODO. W efekcie nie wdrożono środków adekwatnych do charakteru danych i ryzyk – m.in. danych identyfikacyjnych (PESEL, paszport), informacji o czasie pracy, stanowisku, czy rodzaju wykonywanych zadań.
Każdy nowy proces przetwarzania danych – niezależnie od tego, czy realizowany jest wewnętrznie czy przez zewnętrzny podmiot – musi być poprzedzony oceną ryzyka. Brak takiej analizy może oznaczać automatyczne naruszenie zasad bezpieczeństwa danych.
Odpowiedzialność administratora nie kończy się na zawarciu umowy powierzenia
McDonald’s formalnie zawarł umowę powierzenia z 24/7 Communication, ale nie prowadził żadnego realnego nadzoru nad jej wykonaniem. Zrezygnowano z prawa dostępu do systemu, nie przeprowadzano audytów, nie kontrolowano procedur i zabezpieczeń stosowanych przez podmiot przetwarzający. Co więcej, 24/7 Communication posługiwał się dalszym podwykonawcą, nie posiadając ku temu wymaganej umowy podpowierzenia, co stanowiło odrębne naruszenie art. 28 ust. 4 RODO.
Umowa powierzenia przetwarzania danych nie zwalnia administratora z obowiązku realnego nadzoru nad procesem przetwarzania. RODO wymaga nie tylko podpisania umowy, ale także udokumentowanego monitorowania jej wykonywania – np. poprzez audyty, raporty bezpieczeństwa, inspekcje czy weryfikację polityk podwykonawców.
Odpowiedzialność podmiotu przetwarzającego
24/7 Communication odpowiadało za techniczną stronę systemu, którego nieprawidłowa konfiguracja doprowadziła do wycieku danych. Mimo to firma nie uznawała tego zasobu za „swoją odpowiedzialność”, co było fundamentalnym błędem. RODO w art. 28 ust. 3 lit. c i art. 32 jasno obliguje procesora do stosowania odpowiednich środków bezpieczeństwa – niezależnie od ustaleń z administratorem. 24/7 nie tylko ich nie wdrożyło, ale nawet nie zidentyfikowało ryzyk ani nie testowało rozwiązań ochronnych.
Status „procesora” nie chroni przed odpowiedzialnością. Każdy podmiot przetwarzający musi aktywnie oceniać i zarządzać ryzykiem, nawet jeśli administrator nie narzuca konkretnych wymagań. W przeciwnym razie, kara może być nałożona bezpośrednio na wykonawcę.
Zasada minimalizacji i „niepotrzebne dane” w systemie
System grafików przechowywał dane znacznie wykraczające poza to, co było niezbędne do planowania czasu pracy – m.in. PESEL i paszporty. Zamiast bezpieczniejszych identyfikatorów wewnętrznych, wykorzystywano dane szczególnie wrażliwe z punktu widzenia identyfikacji pracownika. Ich obecność w plikach, które finalnie zostały ujawnione publicznie, zwiększyła wagę naruszenia i wpłynęła na wysokość kary.
Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) nie jest abstrakcyjną zasadą. Należy projektować systemy i procesy tak, aby wykorzystywać tylko te dane, które są absolutnie niezbędne dla realizacji konkretnego celu.
Inspektor ochrony danych jako figura symboliczna? Błąd
McDonald’s nie zaangażował inspektora ochrony danych (IOD) w proces wyboru podmiotu przetwarzającego ani w nadzór nad systemem. W efekcie nie wykorzystano kompetencji, które mogłyby zapobiec naruszeniu. PUODO wprost wskazał na naruszenie art. 38 ust. 1 RODO.
IOD nie może pełnić funkcji dekoracyjnej. Jego aktywne włączenie w procesy decyzyjne – zwłaszcza przy outsourcingu przetwarzania danych – nie jest opcją, ale obowiązkiem administratora.
Sprawa McDonald’s i 24/7 Communication potwierdza to, co eksperci RODO powtarzają od lat: ochrona danych to proces ciągły, a odpowiedzialność – rozproszona, ale nie rozmyta. PUODO wyraźnie akcentuje, że za błędy w organizacji, nadzorze i zabezpieczeniach odpowiadają zarówno administratorzy, jak i procesorzy – w ramach przypisanych im ról. A każda organizacja, która bagatelizuje te obowiązki, musi liczyć się z konsekwencjami nie tylko finansowymi, ale i reputacyjnymi.
Masz pytania?
Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!
Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!
Facebook https://www.facebook.com/odoserwis.pl.2016/
Linkedin https://www.linkedin.com/company/odoserwis-pl/
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl
Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl
- Doradztwo w zakresie ochrony danych osobowych
- Outsourcing Inspektora Ochrony Danych / IOD
- Audyt i wdrożenie NIS2 I KSC
- Doradztwo w zakresie sztucznej inteligencji/AI