Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Brak analizy ryzyka kosztował miliony. Co biznes musi wiedzieć o karze dla McDonald’s

29/07/2025

Umowa Powierzenia, Organy Nadzoru, Niewłaściwe Zabezpieczenie Danych, Zabezpieczenie Danych, Powierzenie Przetwarzania, Wyciek Danych Osobowych,

Decyzja Prezesa UODO w sprawie McDonald’s Polska i 24/7 Communication to nie reakcja na pojedynczy incydent. Kara – prawie 17 milionów złotych dla McDonald’s i blisko 200 tysięcy złotych dla jego partnera technologicznego – została nałożona nie za sam wyciek danych, ale za systemowe zaniedbania: brak analizy ryzyka, niewdrożenie adekwatnych zabezpieczeń oraz brak nadzoru nad procesem przetwarzania. Organ nadzorczy jasno zakomunikował, że odpowiedzialność nie kończy się na podpisaniu umowy, a brak kultury ochrony danych może mieć dla firm bardzo kosztowne konsekwencje


Brak analizy ryzyka kosztował miliony. Co biznes musi wiedzieć o karze dla McDonald’s

Brak analizy ryzyka kosztował miliony. Co biznes musi wiedzieć o karze dla McDonald’s

Brak analizy ryzyka to nie uchybienie – to naruszenie

Zarówno McDonald’s jako administrator, jak i 24/7 Communication jako podmiot przetwarzający, nie przeprowadzili analizy ryzyka związanego z przetwarzaniem danych pracowników w systemie grafików. Taki obowiązek wynika wprost z art. 32 ust. 1 RODO. W efekcie nie wdrożono środków adekwatnych do charakteru danych i ryzyk – m.in. danych identyfikacyjnych (PESEL, paszport), informacji o czasie pracy, stanowisku, czy rodzaju wykonywanych zadań.


Każdy nowy proces przetwarzania danych – niezależnie od tego, czy realizowany jest wewnętrznie czy przez zewnętrzny podmiot – musi być poprzedzony oceną ryzyka. Brak takiej analizy może oznaczać automatyczne naruszenie zasad bezpieczeństwa danych.

 

Odpowiedzialność administratora nie kończy się na zawarciu umowy powierzenia

McDonald’s formalnie zawarł umowę powierzenia z 24/7 Communication, ale nie prowadził żadnego realnego nadzoru nad jej wykonaniem. Zrezygnowano z prawa dostępu do systemu, nie przeprowadzano audytów, nie kontrolowano procedur i zabezpieczeń stosowanych przez podmiot przetwarzający. Co więcej, 24/7 Communication posługiwał się dalszym podwykonawcą, nie posiadając ku temu wymaganej umowy podpowierzenia, co stanowiło odrębne naruszenie art. 28 ust. 4 RODO.


Umowa powierzenia przetwarzania danych nie zwalnia administratora z obowiązku realnego nadzoru nad procesem przetwarzania. RODO wymaga nie tylko podpisania umowy, ale także udokumentowanego monitorowania jej wykonywania – np. poprzez audyty, raporty bezpieczeństwa, inspekcje czy weryfikację polityk podwykonawców.

 

Odpowiedzialność podmiotu przetwarzającego

24/7 Communication odpowiadało za techniczną stronę systemu, którego nieprawidłowa konfiguracja doprowadziła do wycieku danych. Mimo to firma nie uznawała tego zasobu za „swoją odpowiedzialność”, co było fundamentalnym błędem. RODO w art. 28 ust. 3 lit. c i art. 32 jasno obliguje procesora do stosowania odpowiednich środków bezpieczeństwa – niezależnie od ustaleń z administratorem. 24/7 nie tylko ich nie wdrożyło, ale nawet nie zidentyfikowało ryzyk ani nie testowało rozwiązań ochronnych.


Status „procesora” nie chroni przed odpowiedzialnością. Każdy podmiot przetwarzający musi aktywnie oceniać i zarządzać ryzykiem, nawet jeśli administrator nie narzuca konkretnych wymagań. W przeciwnym razie, kara może być nałożona bezpośrednio na wykonawcę.

 

Zasada minimalizacji i „niepotrzebne dane” w systemie

System grafików przechowywał dane znacznie wykraczające poza to, co było niezbędne do planowania czasu pracy – m.in. PESEL i paszporty. Zamiast bezpieczniejszych identyfikatorów wewnętrznych, wykorzystywano dane szczególnie wrażliwe z punktu widzenia identyfikacji pracownika. Ich obecność w plikach, które finalnie zostały ujawnione publicznie, zwiększyła wagę naruszenia i wpłynęła na wysokość kary.


Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) nie jest abstrakcyjną zasadą. Należy projektować systemy i procesy tak, aby wykorzystywać tylko te dane, które są absolutnie niezbędne dla realizacji konkretnego celu.

 

Inspektor ochrony danych jako figura symboliczna? Błąd

McDonald’s nie zaangażował inspektora ochrony danych (IOD) w proces wyboru podmiotu przetwarzającego ani w nadzór nad systemem. W efekcie nie wykorzystano kompetencji, które mogłyby zapobiec naruszeniu. PUODO wprost wskazał na naruszenie art. 38 ust. 1 RODO.


IOD nie może pełnić funkcji dekoracyjnej. Jego aktywne włączenie w procesy decyzyjne – zwłaszcza przy outsourcingu przetwarzania danych – nie jest opcją, ale obowiązkiem administratora.

 

Sprawa McDonald’s i 24/7 Communication potwierdza to, co eksperci RODO powtarzają od lat: ochrona danych to proces ciągły, a odpowiedzialność – rozproszona, ale nie rozmyta. PUODO wyraźnie akcentuje, że za błędy w organizacji, nadzorze i zabezpieczeniach odpowiadają zarówno administratorzy, jak i procesorzy – w ramach przypisanych im ról. A każda organizacja, która bagatelizuje te obowiązki, musi liczyć się z konsekwencjami nie tylko finansowymi, ale i reputacyjnymi.

 

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

 

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

 

 

Umowa Powierzenia, Organy Nadzoru, Niewłaściwe Zabezpieczenie Danych, Zabezpieczenie Danych, Powierzenie Przetwarzania, Wyciek Danych Osobowych,
900 tysięcy euro kary dla Solocal za brak ważnej zgody na działania marketingowe
900 tysięcy euro kary dla Solocal za brak ważnej zgody na działania marketingowe
Kradzież samochodu ujawniła luki w ochronie danych osobowych pacjentów. UODO ukarał przychodnię z Pyskowic
Kradzież samochodu ujawniła luki w ochronie danych osobowych pacjentów. UODO ukarał przychodnię z Pyskowic
125 tysięcy euro kary za wyciek danych studentów
125 tysięcy euro kary za wyciek danych studentów