Ogromne wykroczenie McDonald’s Polska w kwestii RODO

W lipcu 2025 roku, Prezes Urzędu Ochrony Danych Osobowych zdecydował o nałożeniu na McDonald’s Polska surowej sankcji w wysokości 16 932 657 zł. Sprawa dotyczy licznych uchybień w zakresie RODO, które zdaniem organu nadzorczego stanowią poważne naruszenie obowiązujących regulacji. Oprócz kary finansowej spółka otrzymała także oficjalne upomnienie.

O co chodzi w sprawie McDonald’s Polska kontra UODO?

Sprawa, która doprowadziła do nałożenia jednej z najwyższych kar w historii polskiego RODO, miała swój początek w incydencie zgłoszonym przez McDonald’s Polska do Urzędu Ochrony Danych Osobowych. Doszło bowiem do ujawnienia wrażliwych informacji – m.in. imion i nazwisk, numerów PESEL, danych lokalizacyjnych restauracji, a także szczegółowych informacji z grafików pracy, takich jak godziny rozpoczęcia i zakończenia zmian czy zajmowane przez dane osoby stanowiska.

Co istotne, dane te – zamiast pozostać zabezpieczone w systemie – zostały przypadkowo udostępnione w katalogu publicznym. Źródłem problemu była błędna konfiguracja serwera, który umożliwił dostęp do niezaszyfrowanej kopii bazy danych powiązanej z narzędziem do tworzenia grafików pracowniczych.

Jak ustalił UODO, McDonald’s jako administrator danych zlecił obsługę tego procesu zewnętrznej firmie – agencji 24/7 Communication, pełniącej funkcję podmiotu przetwarzającego. Choć głównym obszarem działalności tej firmy była komunikacja PR, oferowała ona również cyfrowe rozwiązania wspierające zarządzanie zespołem. To właśnie z jej udziałem doszło do nieprawidłowości, które pozwoliły na wyciek danych.

Urząd wskazał, że McDonald’s nie sprawował należytej kontroli nad powierzoną bazą. Firma nie egzekwowała zapisów umowy dotyczących regularnego audytowania procesora, nie żądała dostępu do systemu i nie nadzorowała wdrażania środków bezpieczeństwa. Z kolei 24/7 Communication nie traktowało danych jako zasobu wymagającego ochrony na poziomie adekwatnym do skali ryzyka. W dokumentacji brakowało również procedur związanych z testowaniem, oceną i aktualizacją zabezpieczeń – co stanowi bezpośrednie naruszenie przepisów RODO.

Zgodnie z podejściem UODO, obowiązki w zakresie ochrony danych osobowych nie kończą się na podpisaniu umowy powierzenia. Zarówno administrator, jak i podmiot przetwarzający mają stały obowiązek wdrażania oraz doskonalenia odpowiednich środków technicznych i organizacyjnych. W tym przypadku żaden z tych wymogów nie został należycie spełniony – co doprowadziło do ujawnienia danych i poważnych konsekwencji prawnych.

Jak McDonald’s Polska zareagowało na karę od UODO?

McDonald’s Polska odniosło się do decyzji Urzędu Ochrony Danych Osobowych, podkreślając, że firma prowadzi działalność w sposób odpowiedzialny i zgodny z obowiązującymi przepisami prawa. Jak zaznaczono w oficjalnym stanowisku, incydent dotyczył danych osób zatrudnionych w wybranych restauracjach w latach 2014-2019 i nie obejmował informacji o klientach, użytkownikach aplikacji mobilnej ani partnerach biznesowych.

Zaraz po wykryciu naruszenia spółka zgłosiła sprawę do UODO, deklarując pełną współpracę na każdym etapie postępowania administracyjnego. Jednocześnie wdrożono szereg działań prewencyjnych i naprawczych, mających na celu ograniczenie skutków incydentu oraz zapobieganie podobnym sytuacjom w przyszłości.

Wśród podjętych kroków znalazła się rezygnacja z aplikacji służącej do tworzenia grafików pracy, której błędna konfiguracja doprowadziła do ujawnienia danych. Firma zainicjowała również cykl niezależnych audytów, usprawniła wewnętrzne procedury w zakresie ochrony informacji oraz zwiększyła częstotliwość szkoleń pracowników dotyczących przetwarzania danych osobowych.

Jak informuje McDonald’s Polska, do chwili obecnej nie stwierdzono przypadków niewłaściwego wykorzystania danych objętych incydentem. Firma zapewnia, że bezpieczeństwo informacji pozostaje dla niej jednym z kluczowych priorytetów – zarówno w relacjach z pracownikami, jak i klientami.