Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na McDonald’s Polska kary administracyjne o łącznej wartości ponad 16,9 mln zł oraz na 24/7Communication – agencję, która odpowiadała za przetwarzanie danych osobowych pracowników sieci restauracji – ponad 183 tys. zł. W toku postępowania wykryto bowiem liczne uchybienia w nadzorze danych, a także ujawnienie danych osobowych pracowników, co wiąże się z poważnym naruszeniem przepisów RODO. Sprawa dotyczy działań prowadzonych w 2020 roku. Oba podmioty odniosły się już do decyzji.
McDonald’s Polska powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie – agencji 24/7Communication – w celu zarządzania grafikami pracy. Jak przekazuje UODO w oficjalnym komunikacie z 21 lipca 2025 roku, brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu.
W jaki sposób doszło do ujawnienia danych osobowych pracowników?
McDonald’s Polska zgłosił prezesowi UODO naruszenie ochrony danych osobowych po ujawnieniu pliku zawierającego dane pracowników restauracji własnych i franczyzowych w publicznie dostępnym katalogu. Jak dowiadujemy się, udostępnione informacje obejmowały m.in. imiona i nazwiska, numery PESEL, numery restauracji, godziny rozpoczęcia i zakończenia pracy, stanowiska czy liczby przepracowanych godzin. Do ujawnienia doszło na skutek błędnej konfiguracji serwera wykorzystywanego do obsługi tzw. modułu grafików pracowniczych.
Za obsługę tego systemu odpowiadała firma 24/7Communication, z którą McDonald’s zawarł umowę o świadczenie usług PR oraz osobną umowę powierzenia przetwarzania danych osobowych. Wspomniany moduł grafików umożliwiał zarządzanie czasem pracy, ale nie posiadał oddzielnego panelu administracyjnego. Administrator danych – McDonald’s Polska – nie wystąpił o dostęp do systemu i nie sprawował nad nim faktycznego nadzoru, zlecając całość operacji zewnętrznemu podmiotowi. Jednocześnie nie realizowano postanowień umowy w zakresie prawa do audytu i inspekcji – wynika z prowadzonego przez UODO postępowania w sprawie.
Postępowanie to wykazało również, że ani administrator, ani podmiot przetwarzający nie przeprowadzili wymaganej analizy ryzyka, nie wdrożyli odpowiednich środków technicznych i organizacyjnych, a także nie prowadzili regularnego testowania zabezpieczeń systemu.
Co ujawniło postępowanie UODO?
Jak czytamy w oficjalnym komunikacie opublikowanym przez organ, w toku postępowania wykryto także, że agencja 24/7Communication korzystała z usług innego dostawcy, nie zawierając z nim wymaganego prawem podpowierzenia przetwarzania danych osobowych. Odpowiednia umowa została zawarta dopiero po zgłoszeniu incydentu. Jednocześnie zarówno administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych (IOD) w procesy związane z wyborem usługodawcy ani w obsługę systemu przetwarzającego dane pracownicze. „Brak udziału IOD ograniczył możliwość oceny ryzyka i zgodności przetwarzania danych z przepisami RODO” – wyjaśnia UODO.
Ponadto z ustaleń wynika, że McDonald’s nie dokonał również odpowiedniej weryfikacji agencji, której powierzył zarządzanie wskazanymi informacjami, pod kątem jej zdolności do zabezpieczenia danych osobowych. Decyzję o powierzeniu danych oparto wyłącznie na dotychczasowej współpracy w obszarze PR, co – jak wskazuje organ – było niezgodne z przepisami RODO mówiącymi o tym, że przetwarzanie danych powinno być powierzone podmiotom dającym wystarczające gwarancje wdrożenia odpowiednich środków ochrony danych.
Po stronie administratora doszło także do naruszenia zasady minimalizacji danych. W systemie grafików wykorzystywano identyfikatory takie jak numery PESEL i paszportów, mimo że nie były one niezbędne do realizacji celu przetwarzania. Dopiero po incydencie zastąpiono je indywidualnymi numerami identyfikacyjnymi.
Jakie są konsekwencje tych uchybień?
W wyniku ujawnionych naruszeń w obszarze danych osobowych prezes UODO nałożył na McDonald’s Polska trzy kary administracyjne o łącznej wartości 16,9 mln zł. Z kolei na 24/7Communication – jako podmiot przetwarzający – nałożono trzy kary o łącznej wysokości ponad 183 tys. zł. Dodatkowo McDonald’s otrzymał upomnienie za niewystarczająco bezpośredni sposób powiadomienia byłych pracowników o naruszeniu – zamiast kontaktu indywidualnego posłużono się bowiem wyłącznie komunikatami prasowymi.
McDonald’s zajmuje stanowisko
McDonald’s Polska wydał oficjalne oświadczenie w sprawie. Sieć poinformowała, że otrzymała decyzję UODO dotyczącą sprawy z 2020 roku i obecnie analizuje jej treść. Jednocześnie firma zapewnia, że od czasu wspomnianego incydentu dokłada wszelkich starań, aby zminimalizować jej wpływ. Dodatkowo od tego czasu podjęto szereg działań mających na celu zabezpieczenie danych pracowników, gości i kontrahentów.
„Jako firma działamy w zgodzie z przepisami prawa i odpowiedzialnie. Ubolewamy, że doszło do incydentu sprzed pięciu lat. Dołożyliśmy starań, aby zminimalizować jego wpływ. Jednocześnie podkreślamy, że zdarzenie nie dotyczyło danych naszych gości, użytkowników aplikacji mobilnej ani kontrahentów” – tłumaczy McDonald’s w oficjalnym komunikacie.
Sieć podkreśla ponadto, że sprawa nie dotyczy obecnych pracowników restauracji. „Naruszenie dotyczyło osób zatrudnionych w wybranych restauracjach od maja 2014 do stycznia 2019 roku. Po stwierdzeniu naruszenia niezwłocznie dokonaliśmy zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W toku postępowania administracyjnego transparentnie współpracowaliśmy z Urzędem. Dodatkowo podjęliśmy działania mające na celu zabezpieczenie danych naszych pracowników, gości i kontrahentów. Zrezygnowaliśmy z narzędzia do wyświetlania grafików pracy, przeprowadzamy niezależne audyty, wzmocniliśmy wewnętrzne procedury oraz cyklicznie realizujemy szkolenia z zakresu ochrony danych osobowych” – wyjaśnia podmiot.
Jednocześnie McDonald’s podkreśla, że do dnia wydania komunikatu „nie odnotowano przypadków nieuprawnionego wykorzystania danych objętych incydentem”.
Agencja zapewnia, że to jedyny incydent
Redakcja PRoto.pl skontaktowała się w tej sprawie również z drugim podmiotem, którego dotyczyło postępowanie – agencją 24/7Communication. Przedstawiciele firmy potwierdzili, że istotnie 30 czerwca 2025 roku otrzymali decyzję UODO w sprawie naruszenia ochrony danych osobowych pracowników jednego z klientów.
„W dniu 30 czerwca 2025 roku otrzymaliśmy decyzję Urzędu Ochrony Danych Osobowych ws. zdarzenia z 2020 roku, związanego z naruszeniem ochrony danych osobowych pracowników jednego z naszych klientów. Naruszenie dotyczyło narzędzia stworzonego w 2014 roku, a jego bezpośrednią przyczyną był nieumyślny błąd ludzki. W czasie prowadzenia postępowania administracyjnego współpracowaliśmy z UODO i pozostawaliśmy w stałym kontakcie z jego przedstawicielami” – poinformowała agencja.
Jak zapewniają przedstawiciele 24/7Communication, w ciągu ostatnich lat podjęto działania na rzecz poprawy bezpieczeństwa danych osobowych zarówno klientów i kontrahentów, jak i pracowników. „Na przestrzeni ostatnich lat wprowadziliśmy szereg istotnych usprawnień w zakresie bezpieczeństwa informacji zgodnie z wytycznymi EDPB, CERT i ENISA. Wśród nich m.in. stworzenie dedykowanego działu compliance w agencji oraz rozwój zabezpieczeń IT. Stale podnosimy wiedzę i świadomość naszych pracowników poprzez cykliczne szkolenia, a ponadto prowadzimy wewnętrzne i zewnętrzne audyty kwartalne, realizowane przez specjalistów ds. bezpieczeństwa informacji” – przekazała firma w odpowiedzi na przesłane zapytanie PRoto.pl.
„Chcemy podkreślić, że zdarzenie sprzed lat było jedynym tego typu incydentem w blisko 24-letniej historii agencji. Wyciągnęliśmy wnioski i wdrożyliśmy skuteczne rozwiązania, które gwarantują najwyższe standardy compliance w naszej firmie. Bezpieczeństwo danych klientów, pracowników i partnerów biznesowych jest dla nas absolutnym priorytetem” – zapewnia agencja. (kn)
Źródło: własne/ uodo.gov.pl/ mcdonalds.pl
