Za ochronę danych osobowych są odpowiedzialni zarówno administrator, jak i podmiot przetwarzający

Prezes UODO Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł)

McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu.

Okoliczności zdarzenia

McDonald’s Polska Sp. z o.o. (dalej również McDonald’s lub administrator) zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych. Administrator ustalił, że w udostępnionym pliku w publicznym katalogu były dane pracowników McDonald’s i jego franczyzobiorców:  imiona i nazwiska, numery PESEL, numery paszportów (w przypadku braku numeru PESEL), numeru restauracji McDonald’s, daty i godziny rozpoczęcia pracy, daty i godziny zakończenia pracy, liczby przepracowanych godzin, stanowiska, dni wolne, rodzaj dnia oraz rodzaj pracy.

Umowa powierzenia

McDonald’s zawarł z 24/7 Communication Sp. z o.o. (dalej: 24/7 Communication lub podmiot przetwarzający) umowę o świadczenie usług w zakresie public relations (umowa główna), obok której zawarł umowę powierzenia przetwarzania danych osobowych, w ramach której przetwarzane były dane pracowników zgromadzone w „module grafik pracowniczy” i udostępniane pracownikom restauracji McDonald’s, franczyzobiorcom i ich pracownikom, za pośrednictwem prowadzonego przez administratora serwisu. Administrator nie posiadał uprawnień do zarządzania zasobami i konfiguracją systemu informatycznego zawierającego moduł grafików pracowniczych. Takie uprawnienia posiadał jedynie podmiot przetwarzający. Cały proces, w tym obsługa, została przez administratora zlecona podmiotowi przetwarzającemu. Moduł grafików nie posiadał odrębnego panelu administracyjnego i chociaż istniała taka możliwość, administrator nigdy nie zwrócił się do podmiotu przetwarzającego o przyznanie takiego dostępu.

Jednocześnie postanowienia umowy powierzenia przetwarzania danych osobowych, w szczególności w zakresie realizacji audytu i inspekcji, nie były realizowane. Administrator nie sprawował należytego nadzoru nad powierzonymi danymi osobowymi.

Zaniedbania w analizie ryzyka i zabezpieczeniach

W toku postępowania organ nadzorczy zwrócił uwagę, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odnosi się zarówno do administratora, jak i podmiotu przetwarzającego.

Wdrożenie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale procesem, w ramach którego administrator i podmiot przetwarzający dokonują bieżącego przeglądu i w razie potrzeby uaktualniają przyjęte wcześniej zabezpieczenia.

Obowiązek regularnego testowania, mierzenia i oceniania nie został wprost ujęty w polityce ochrony danych opracowanej przez podmiot przetwarzający i ostatecznie nie był w żaden sposób realizowany. Również podmiot przetwarzający nie poczuwał się do zapewnienia odpowiedniego do ryzyka poziomu bezpieczeństwa powierzonych danych osobowych przetwarzanych za pomocą modułu grafików pracowniczych, gdyż nie uznawał go za zasób, za który odpowiada. Powyższy obowiązek wynika z przepisów i nie może być wyłączany w oparciu o wykładnię postanowień umowy zawartej między administratorem i podmiotem przetwarzającym. Jednocześnie, do naruszenia ochrony danych osobowych doszło na skutek nieprawidłowej konfiguracji serwera, umożliwiającej podgląd zawartości tego serwera, w tym kopii bazy danych z aplikacji grafików pracowniczych zawierających dane osobowe.

Ani administrator, ani podmiot przetwarzający nie przeprowadzili analizy ryzyka. Nie wdrożono też środków technicznych i organizacyjnych odpowiednich do skali przetwarzania. Naruszenie wynikało z błędnej konfiguracji serwera, za który odpowiadał podmiot przetwarzający.

Brak zawarcia umowy podpowierzenia

Przy przetwarzaniu powierzonych danych osobowych podmiot przetwarzający korzystał z usług innego podmiotu, z którym nie zawarł umowy dalszego powierzenia przetwarzania danych osobowych. Dopiero po wystąpieniu naruszenia i na etapie badania sprawy przez organ nadzorczy podpisano odpowiednią umowę, mimo że zgodnie z RODO (art. 28 ust. 4 i 9) i zawartą umową obowiązek ten istniał wcześniej.

Ponadto administrator, jak i podmiot przetwarzający nie włączali inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). W McDonald’s IOD nie był włączony w analizę kwalifikacji i zasadności wyboru podmiotu przetwarzającego i w przetwarzanie danych związanych z modułem grafików. Pominięcie IOD ograniczyło możliwość zapobieżenia naruszeniu.

Weryfikacja podmiotu przetwarzającego

Postępowanie wykazało, że spółka McDonald’s nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia danych – oparto się jedynie na wcześniejszej współpracy w zakresie PR. Tym samym naruszono art. 28 ust. 1 RODO , który wymaga, by przetwarzanie w imieniu administratora odbywało się przez podmioty przetwarzające, zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą.

Umowa powierzenia nie zwalnia administratora z ochrony danych

Powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa zgodnie z wymogami RODO (art. 24, art. 25 oraz art. 32 ust. 1 i 2).

Administrator nie przeprowadził wymaganej analizy ryzyka i nie uwzględnił zagrożeń wynikających z korzystania z usług podmiotu przetwarzającego.

Jeżeli można zminimalizować zakres przetwarzania, należy to zrobić

Administrator powinien poddać ocenie zakres przetwarzanych danych osobowych pod kątem ograniczenia tego zakresu tylko do danych, które są niezbędne dla osiągniecia celu przetwarzania danych, co wynika z treści art. 25 ust. 1 (wdrożenie odpowiednich środków technicznych i organizacyjnych) oraz art. 5 ust. 1 lit. c RODO (zasada minimalizacji).

Zamiast danych niezbędnych do ewidencjonowania czasu pracy pracowników oraz zarządzania czasem ich pracy, w systemie znalazły się także PESEL i numery paszportów. Dane te służyły jako identyfikator zapewniający w sposób jednoznaczny identyfikację pracownika. Dopiero po incydencie dane te zostały zastąpione numerami identyfikacyjnymi. Czynność zastąpienia jednej danej, która generuje wysokie ryzyko, inną daną, taką jak numer identyfikacyjny, wpisuje się w zasadę minimalizacji danych.

Obowiązek bezpośredniego zawiadomienia osób, których dane zostały naruszone

Administrator słusznie uznał, że w wyniku naruszenia ochrony danych osobowych doszło do wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i powiadomił osoby dotknięte tym zdarzeniem. Forma zawiadomienia była różna, byłych pracowników administrator zawiadomił jedynie poprzez wykupienie dwóch komunikatów prasowych. W ocenie Prezesa UODO, wskazana forma zawiadomienia nie może zostać uznana za bezpośrednie zawiadomienie o naruszeniu ochrony danych osobowych. Za brak bezpośredniego zawiadomienia byłych pracowników organ nadzorczy udzielił administratorowi upomnienia.

Czy franczyzobiorców można uznać za administratorów?

W toku postępowania Prezes UODO zbadał też to, czy McDonald’s można również uznać za administratora danych osobowych pracowników franczyzobiorców McDonald’s, którzy również zgłosili naruszenie ochrony danych osobowych, związane z tożsamym incydentem bezpieczeństwa. Prezes UODO wskazał, że administratorem jest ten podmiot, który podejmuje decyzję co do celu przetwarzania danych oraz określa środki, jakie należy zastosować dla osiągnięcia celu. McDonald’s był właścicielem modułu grafików służącego do zarządzania i ewidencją czasu pracy pracowników restauracji, w tym pracowników franczyzobiorców i jako twórca i właściciel modułu decydował o celach i sposobach przetwarzania danych osobowych. Określił funkcjonalności oprogramowania oraz sposoby ich przetwarzania w postaci choćby zakresu gromadzonych danych osobowych.

McDonald’s dokonał wyboru podmiotu przetwarzającego, tj. 24/7 Communication, któremu przekazał moduł grafików w celu zarządzania czasem pracy i ewidencją czasu pracy. Zarówno zawieranie umów, jak i przekazywanie wszelkich informacji franczyzobiorcom odbywało się za pośrednictwem McDonald’s.

Okoliczności te wyznaczają status administratora i nie sposób było uznać, aby rola McDonald’s we wzajemnych relacjach z 24/7 Comunnication i podmiotami będącymi franczyzobiorcami McDonald’s, była obojętna dla ustalenia celów i sposobów przetwarzania danych osobowych pracowników franczyzobiorców, a co za tym idzie była obojętna dla przyjęcia odpowiedzialności przez McDonald’s, jaką ponosi administrator na gruncie przepisów RODO, za naruszenie ochrony danych osobowych również pracowników franczyzobiorców McDonald’s.

DKN.5130.4179.2020