Rachunek grozy? Blisko 17 milionów złotych, które McDonald’s Polska wyda na opłacenie kary nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych. W związku z tą samą sprawą ze sporą kwotą będzie musiała pożegnać się także spółka 24/7 Communication – w jej przypadku będzie to jednak „tylko” nieco ponad 180 tysięcy złotych.
O co poszło? O naruszenie szeregu przepisów RODO, które poskutkowało gigantycznym wyciekiem danych pracowników McDonald’s i jego franczyzobiorców. Wszystko zaczęło się niewinnie. McDonald’s, jako administrator danych osobowych swoich pracowników i pracowników franczyzobiorców, powierzył ich przetwarzanie zewnętrznej firmie 24/7 Communication. Cel – zarządzanie grafikami pracy. Skutek – gigantyczny wyciek imion i nazwisk, numerów PESEL i numerów paszportów, a także stanowisk, liczby przepracowanych godzin, dni wolnych i wielu innych danych.
Jak do tego doszło? Lista błędów jest długa: brak przeprowadzenia analizy ryzyka i brak odpowiednich zabezpieczeń, brak zawarcia umowy podpowierzenia, brak odpowiedniej weryfikacji podmiotu przetwarzającego, niewłączenie w proces inspektora ochrony danych… Ale wniosek jest jeden: za ochronę danych osobowych są odpowiedzialni zarówno administrator (McDonald’s), jak i podmiot przetwarzający (24/7 Communication).
Dlatego niezależnie, czy jako przedsiębiorca jesteś administratorem danych osobowych, czy je przetwarzasz jako podmiot przetwarzający, CK LEGAL apeluje – bądź ostrożny! A jeśli masz wątpliwości, czy wszystko jest tip-top, poproś o wsparcie ekspertów.
