Chcielibyśmy zwrócić Państwa uwagę na wnioski płynące z jednej z ostatnich decyzji Prezesa Urzędu Ochrony Danych Osobowych. Uważamy, że są one na tyle istotne, że rekomendujemy, abyście zweryfikowali Państwo, czy w praktyce w Waszej działalności, stosujecie się do obowiązków, których naruszenie stwierdził i (surowo) ukarał Prezes UODO.
Otóż, w dniu 23 czerwca 2025 roku Prezes UODO wydał decyzję nr DKN.5130.4179.2020 (nieprawomocną), w której nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł. oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o., czyli podmiot przetwarzający, w łącznej kwocie 183 858 zł.
Stan faktyczny
Decyzja zapadła w następującym stanie faktycznym:
McDonald’s Polska Sp. z o.o. (dalej” McDonald’s) zgłosił Prezesowi UODO naruszenie ochrony danych osobowych. Naruszenie to polegało na tym, że w pliku udostępnionym w publicznym katalogu znajdowały się dane pracowników McDonald’s i jego franczyzobiorców: imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.
McDonald’s (jako administrator) miał zawartą z 24/7 Communication Sp. z o.o. (jako podmiotem przetwarzającym) umowę o świadczenie usług w zakresie public relations, obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu. McDonald’s nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych, takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu.
Prezes UODO w ramach postępowania wyjaśniającego stwierdził następujące naruszenia następujących obowiązków wynikających z przepisów o ochronie danych osobowych:
- Brak regularnego testowania, mierzenia i oceniania środków ochrony danych osobowych
Jak czytamy w komunikacie Prezesa UODO: „W toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego. Wdrożenie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale procesem, w ramach którego administrator i podmiot przetwarzający dokonują bieżącego przeglądu i w razie potrzeby uaktualniają przyjęte wcześniej zabezpieczenia. Obowiązek regularnego testowania, mierzenia i oceniania nie był w żaden sposób realizowany. Również podmiot przetwarzający nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych za pomocą modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. Powyższy obowiązek wynika z przepisów i nie może być wyłączany w oparciu o wykładnię postanowień umowy zawartej między administratorem i podmiotem przetwarzającym. Jednocześnie, do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd zawartości tego serwera, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe.
Rekomendacja: Należy przeprowadzać (i dokumentować) cykliczny przegląd stosowanych środków ochrony danych osobowych. Jak również przeprowadzać takie przeglądy u swoich podmiotów przetwarzających np. poprzez korzystanie z uprawnień do prowadzenia audytów.
- Brak przeprowadzenia analizy ryzyka
Prezes UODO stwierdził, że ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. W efekcie czego nie wdrożyli oni technicznych i organizacyjnych środków ochrony danych osobowych oraz nie zastosowali się do zasady minimalizacji danych. W komunikacie czytamy: „Administrator nie przeprowadził wymaganej analizy ryzyka i nie uwzględnił zagrożeń wynikających z korzystania z usług podmiotu przetwarzającego. Administrator powinien poddać ocenie zakres przetwarzanych danych osobowych pod kątem ograniczenia tego zakresu tylko do danych, które są niezbędne dla osiągniecia celu przetwarzania danych, co wynika z treści art. 25 ust. 1 (wdrożenie odpowiednich środków technicznych i organizacyjnych) oraz art. 5 ust. 1 lit. c RODO (zasada minimalizacji). Zamiast danych niezbędnych do ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy, w systemie znalazły się także PESEL i numery paszportów. Dane te służyły jako identyfikator zapewniający w sposób jednoznaczny identyfikację pracownika. Dopiero po incydencie dane te zostały zastąpione numerami identyfikacyjnymi. Czynność zastąpienia jednej danej, która generuje wysokie ryzyko, inną daną, taką jak numer identyfikacyjny, wpisuje się w zasadę minimalizacji danych.”
Rekomendacja: Należy zweryfikować, czy w Państwa organizacji została – dla wszystkich czynności przetwarzania danych osobowych – przeprowadzona analiza ryzyka i (tam gdzie ryzyko naruszenia ochrony danych jest wysokie) ocena skutków dla ochrony danych. Jak również, czy analiza ta jest aktualna i uwzględnia wszelkie ryzyka jakie związane są z daną operacją przetwarzania danych. W razie negatywnej odpowiedzi na powyższe pytania, taką analizę (i ewentualnie ocenę) należy uzupełnić.
- Brak weryfikacji podmiotu przetwarzającego przez administratora, pod kątem zdolności do zabezpieczenia danych
Prezes UODO ustalił, że McDonald’s nie zweryfikował podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych – a tylko oparto się na wcześniejszej współpracy w zakresie PR. Tym samym naruszono art. 28 ust. 1 RODO , który wymaga, by przetwarzanie w imieniu administratora odbywało się przez podmioty przetwarzające, zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą.
Rekomendacja: Należy zweryfikować, czy w Państwa organizacji są stosowane w praktyce narzędzia pozwalające na weryfikację podmiotu przetwarzającego (pod kątem stosowanych przez niego środków ochrony danych) przed rozpoczęciem współpracy z nim, np. poprzez check-listy, ankiety, czy chociażby wymaganie od podmiotu przetwarzającego przedkładania wykazu stosowanych środków ochrony danych osobowych np. jako załącznik do umowy powierzenia i weryfikowanie ich przez administratora. W razie braku stosowania takich mechanizmów, należy zmienić tą praktykę, a w razie nie posiadania w ogóle takich mechanizmów w Państwa organizacji – należy je wdrożyć.
- Brak zawarcia umowy powierzenia przetwarzania danych osobowych z dalszym podmiotem przetwarzającym
Podmiot przetwarzający korzystał z usług innego podmiotu, z którym nie zawarł umowy dalszego powierzenia przetwarzania danych osobowych. Dopiero po wystąpieniu naruszenia i na etapie badania sprawy przez organ nadzorczy podpisano odpowiednią umowę, mimo że zgodnie z RODO (art. 28 ust. 4 i 9) i zawartą umową obowiązek ten istniał wcześniej.
Rekomendacja: Należy zweryfikować, czy tam, gdzie dochodzi do powierzenia lub dalszego powierzenia przetwarzania danych osobowych, są zawarte stosowne umowy powierzenia. W razie odpowiedzi przeczącej, należy te braki uzupełnić (choć nie da się już konwalidować tego braku z mocą wsteczną).
- Brak włączenia Inspektora Ochrony Danych Osobowych we wszystkie sprawy dotyczące danych osobowych
Prezes UODO ustalił również, że administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). W McDonald’s IODO nie był włączony w analizę kwalifikacji i zasadności wyboru podmiotu przetwarzającego i w przetwarzanie danych związanych z modułem grafików. Pominięcie IODO ograniczyło – zdaniem Prezesa UODO – możliwość zapobieżenia naruszeniu.
Rekomendacja: Należy pamiętać o włączaniu IODO we wszystkie sprawy związane z ochroną danych osobowych, a więc nie tylko te „intuicyjne” jak napisanie klauzuli informacyjnej lub oświadczenia o zgodzie na przetwarzanie danych, ale również m. in. konsultować wszelkie zawierane umowy, aby IODO mógł zweryfikować, czy nie dochodzi w nich do powierzenia przetwarzania danych osobowych; informować o nowych inicjatywach (takich jak konkursy, wyjazdy, nowe aplikacje, platformy, systemy); czy wszelkie inne działania faktyczne, które wiążą się z jakimkolwiek wykorzystaniem czy przepływem danych osobowych – aby dać IODO szansę na ocenę, czy aby nie trzeba spełnić określonych obowiązków przewidzianych przez przepisy prawa.
Kto jest administratorem danych osobowych?
Niezależnie od powyższego, Prezes UODO w ramach ww. decyzji rozważał również, czy McDonald’s można uznać za administratora danych osobowych pracowników franczyzobiorców McDonald’s, którzy również zgłosili naruszenie ochrony danych osobowych, związane z tożsamym incydentem bezpieczeństwa. Administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu (art. 4 RODO). Prezes UODO ustalił, że „McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców i jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności oprogramowania oraz sposoby ich przetwarzania w postaci choćby zakresu gromadzonych danych osobowych. McDonald’s dokonał wyboru podmiotu przetwarzającego, tj. 24/7 Communication, któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy. Zarówno zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s.” Zdaniem Prezesa UODO „Okoliczności te wyznaczają status administratora i nie sposób było uznać, aby rola McDonald’s we wzajemnych relacjach z 24/7 Comunnication i podmiotami będącymi franczyzobiorcami McDonald’s, była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników franczyzobiorców, a co za tym idzie była obojętna dla przyjęcia odpowiedzialności przez McDonald’s, jaką ponosi administrator na gruncie przepisów RODO, za naruszenie ochrony danych osobowych również pracowników franczyzobiorców McDonald’s.”
Rekomendacja: Mając na uwadze powyższe, w naszej ocenie powinniście Państwo przeanalizować (w razie potrzeby służymy pomocą) różne konstrukcje funkcjonujące w Państwa organizacji w zakresie przetwarzania danych pomiędzy stronami różnego rodzaju umów, zwłaszcza tych których wykonywanie łączy się z użyciem systemów informatycznych/aplikacji/platform/modułów – pod kątem weryfikacji, czy prawidłowo zostały ustalone relacje pomiędzy stronami i status każdej ze stron z punktu widzenia RODO. Oczywiście takiej weryfikacji powinny również dokonać podmioty działające w ramach franczyzy – analogicznie jak McDonald’s.
Nasze powyższe rekomendacje wynikają zarówno z faktu, że są to po prostu obowiązki wynikające z przepisów RODO, jak również z omawianej powyżej (i innych) decyzji Prezesa UODO, który w ostatnim czasie bardzo dużą wagę przykłada do analizy ryzyka, kontroli stosowanych środków ochrony danych i odpowiedniego ich zabezpieczenia. Jak widać po powyższej decyzji, kary za naruszenie ww. obowiązków mogą być wysokie. Warto więc zweryfikować stosowanie w praktyce obowiązków, o których mowa powyżej. W razie stwierdzenia braku ich stosowania (w całości lub w części) służymy wsparciem w działaniach naprawczych bądź analizie Państwa aktualnej sytuacji pod kątem kwestii, o których mowa powyżej.
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.