22 lipca bieżącego roku firma otrzymała zgłoszenie o nieuprawnionym dostępie do informacji o osobach pracujących w sieci restauracji, które znajdowało się w narzędziu do wyświetlania grafików pracy.

W wyniku niefortunnego działania, polegającego na umieszczeniu kopii bazy danych w nieprzeznaczonym do tego folderze, dane pracowników zostały publicznie udostępnione w okresie od stycznia 2019 r. do 22 lipca 2020 r. 

W oświadczeniu czytamy, że incydent dotyczy osób zatrudnionych od maja 2014 r. do stycznia 2019 r. w 26. restauracjach firmy.

Zostały udostępnione takie dane, jak: imię i nazwisko, PESEL, nazwa i numer restauracji McDonald’s, w której dany pracownik jest/był zatrudniony, godziny pracy, stanowisko, rodzaj wykonywanej pracy, informacje na temat ewentualnych powodów nieobecności w pracy, czyli tym samym stan zdrowia.

System obsługiwany jest przez 24/7 Communicatio – znaną agencją PR-ową.

McDonald’s natychmiast poinformował pracowników o tym incydencie oraz jakie kroki mogą podjąć w celu zabezpieczenia swoich danych. Funkcjonuje dla nich specjalna infolinia, gdzie można otrzymać pomoc. Dostępna jest pod numerem: 22 255 22 10. Dodatkowe informacje znajdują się również pod adresem mcdonalds.pl/rodo.

Firma zapewnia, że zaraz po odkryciu tej pomyłki, dane pliki zostały usunięte z serwera. 

Przeprowadzony audyt ujawnił, że dane pracowników nie zostały udostępnione na innych stronach. Spółka opublikowała także informację prasową oraz zamieściła komunikat w prasie.

McDonald’s razem z 24/7 Communicatio zgłosiły sprawę do Prezesa Urzędu Ochrony Danych Osobowych. Jak czytamy na stronie uodo.gov.pl: 

Organ nadzorczy, analizując sprawę, zwrócił się do Spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych, a w szczególności czy Spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów i pracowników Spółki. Ponadto w przedmiocie zainteresowań Prezesa UODO jest wyjaśnienie okoliczności w jaki sposób doszło do umieszczenia pliku zawierającego dane osobowe na publicznie dostępnym katalogu (źródło).

Szybka interwencja firmy i zgłoszenie tego incydentu do odpowiedniego urzędu może ją chronić przede wszystkim od konsekwencji finansowych. Zgodnie z art. 82 RODO każda osoba, jeżeli poniosła ona szkodę majątkową lub niemajątkową, ma prawo uzyskać od administratora odszkodowanie. Sieć ma na bieżąco informować pracowników o postępach w tej sprawie.

Autor tekstu: Paulina Grabara
Źródło zdjęcia głównego: Markus Spiske/Pexels