iSecure logo
  • pl
  • en
    • Blog

    Rekordowa kara dla McDonald’s Polska. Dlaczego audyt podmiotów przetwarzających dane to konieczność?

    Maria Lothamer
    Kategorie

    Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na McDonald’s Polska karę rekordową – ponad 16,9 mln zł – oraz na firmę 24/7 Communication Sp. z o.o. 183 tys. zł za naruszenia przepisów RODO. To najwyższa w Polsce sankcja finansowa za kwestie związane z ochroną danych osobowych.

    Przyczyna kary

    Sprawa dotyczyła systemu zarządzania grafikami pracowników, gdzie wskutek błędnej konfiguracji serwera dane takie jak PESEL, numery paszportów, godziny pracy i stanowiska zostały publicznie dostępne. UODO wykazał liczne poważne uchybienia, m.in.:

    • brak analizy ryzyka,
    • niewdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych,
    • brak nadzoru nad podmiotem przetwarzającym (bez audytów i kontroli umowy),
    • brak umowy dalszego powierzenia danych,
    • nieuwzględnienie Inspektora Ochrony Danych w kluczowych działaniach,
    • nieprawidłowe poinformowanie byłych pracowników o incydencie.

    Co ważne (ale też potencjalnie kontrowersyjne), UODO uznał, że McDonald’s odpowiada także za dane pracowników franczyzobiorców, co znacząco zwiększyło skalę naruszenia.

    Dlaczego audyt i nadzór podmiotów przetwarzających dane są konieczne?

    Ta sytuacja pokazuje jasno, że sama umowa powierzenia przetwarzania danych osobowych nie wystarczy. Administrator danych ma prawny obowiązek aktywnie nadzorować działania swoich partnerów przetwarzających dane przez:

    • przeprowadzanie regularnych audytów,
    • kontrolę realizacji umów powierzenia,
    • weryfikację stosowanych środków technicznych i organizacyjnych,
    • współpracę z Inspektorem Ochrony Danych.

    Brak takich działań może skutkować poważnymi konsekwencjami finansowymi, prawnymi i wizerunkowymi.

    Co daje audyt podmiotów przetwarzających?

    • pozwala ocenić zgodność z RODO i wdrożone zabezpieczenia,
    • minimalizuje ryzyko wycieków i incydentów,
    • umożliwia wykazanie organowi nadzorczemu, że administrator wywiązuje się ze swoich obowiązków (zasada rozliczalności),
    • umożliwia bieżące dostosowywanie polityk ochrony danych do zmieniających się wymagań prawnych.

    Rekomendacje dla firm

    Warto regularnie przeprowadzać audyty i kontrole podmiotów przetwarzających, z którymi współpracują, a także współpracować z ekspertami w zakresie ochrony danych. Zapobiega to sytuacjom takim jak u McDonald’s, gdzie zaniedbania prowadziły do rekordowej kary. Lepiej działać prewencyjnie niż ponosić wielomilionowe kary i stratę reputacji.

    Rekordowa kara dla McDonald’s Polska jest efektem poważnych zaniedbań w nadzorze nad podmiotem przetwarzającym dane oraz braku odpowiednich zabezpieczeń. Audyt i kontrola partnerów przetwarzających dane to dziś niezbędny element zgodności z RODO i ochrona przed takim ryzykiem.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Korzystanie z narzędzi AI – gdzie w tym dane osobowe?

    Wstęp Stosowanie rozwiązań sztucznej inteligencji (AI) wiąże się z wieloma wyzwaniami w kontekście ochrony danych osobowych, co sprawia, że przepisy GDPR (Ogólne Rozporządzenie o Ochronie Danych Osobowych) wymagają szczególnej uwagi. Oto kilka kluczowych powodów, dlaczego AI wymaga szczególnej ochrony pod kątem przepisów GDPR: Przetwarzanie dużych ilości danych osobowych: AI, szczególnie w kontekście uczenia maszynowego często […]

    Czytaj więcej
    Olga Skotnicka

    Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

    Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

    Czytaj więcej
    Dane osobowe dzieci w internecie
    Bartosz Migas

    “ICO z tym internetem dzieci?” – Część I. Kodeks. 

    Świat cyfrowy w XXI wieku przenika naszą codzienność, w sposób widoczny lub zupełnie nieświadomy towarzyszy nam w wielu zwyczajnych czynnościach, zarówno w pracy jak i w życiu prywatnym. Nasza rzeczywistość to splot świata materialnego i cyfrowego, a udział tego drugiego stale rośnie. Ten cyfrowy anturaż nie jest jednak zarezerwowany wyłącznie dla osób pełnoletnich, a wręcz […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki