Πολωνία: 3.9 εκατομμύρια ευρώ πρόστιμο στη McDonald’s μετά από παραβίαση δεδομένων
Η διαχείριση των βαρδιών του προσωπικού μέσω λογισμικού είχε ανατεθεί χωρίς επίβλεψη σε εταιρεία δημοσίων σχέσεων
Πρόστιμο ρεκόρ συνολικού ύψους 3.9 εκατομμυρίων ευρώ επέβαλε η πολωνική αρχή προστασίας δεδομένων UODO στην εταιρεία McDonald’s Polska για πολλαπλές παραβιάσεις των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων, όπως αυτές προέκυψαν μετά από περιστατικό παραβίασης δεδομένων.
Στις 24 Ιουλίου 2020, η εταιρεία γνωστοποίησε στην πολωνική αρχή την τελεσθείσα παραβίαση δεδομένων που είχε διαπιστώσει. Η παραβίαση αυτή, η οποία γνωστοποιήθηκε στη μητρική εταιρεία με email αφορούσε την αποκάλυψη προσωπικών δεδομένων εργαζομένων μέσω αρχείου που είχε τοποθετηθεί σε δημόσια προσβάσιμο κατάλογο. Τα υποκείμενα των δεδομένων ήταν όχι μόνο οι υπάλληλοι της McDonald’s Polska, αλλά και οι υπάλληλοι των δικαιοδόχων της, που λειτουργούσαν καταστήματα υπό καθεστώς franchise. Το αρχείο αφορούσε τις βάρδιες του προσωπικού και περιελάμβανε μεγάλο όγκο προσωπικών δεδομένων, που σε μεγάλο βαθμό δεν χρειάζονταν καν για τον σκοπό της επεξεργασίας: ονοματεπώνυμο, αριθμός ταυτότητας ή διαβατηρίου, κωδικός εστιατορίου, ημερομηνία και ώρα έναρξης και λήξης εργασίας, αριθμός ωρών εργασίας, θέση εργασίας, ημέρες ανάπαυσης και είδος εργασίας.
Η διαχείριση του προγραμματισμού εργασίας των υπαλλήλων της McDonald’s Polska είχε ανατεθεί σε τρίτη εταιρεία, η οποία είχε δημιουργήσει ειδικό λογισμικό, ο διακομιστής του οποίου είχε ρυθμιστεί έτσι ώστε να επιτρέπει την προβολή του περιεχομένου του μέσω publicly accessible directory. Μέσα στον φάκελο αυτό τηρείτο και πλήρες αντίγραφο της βάσης δεδομένων, που περιελάμβανε τα πλήρη προσωπικά δεδομένα των εργαζομένων και ήταν ελευθέρως προσβάσιμο στο διαδίκτυο.
Μια λεπτομέρεια που αξίζει να επισημανθεί είναι πως η εταιρεία που είχε αναλάβει τη δημιουργία και διαχείριση του λογισμικού είχε ως κύρια δραστηριότητα τις δημόσιες σχέσεις και την επικοινωνία, αντικείμενο στο οποίο είχε συνεργαστεί επιτυχώς στο παρελθόν με τη McDonald’s Polska, γι’ αυτό και είχε αποφασιστεί να της ανατεθεί και το επίμαχο καθήκον. Μια δεύτερη λεπτομέρεια είναι πως η McDonald’s Polska δεν είχε μεριμνήσει ώστε να διατηρεί δικαιώματα διαχείρισης και παραμετροποίησης στο λογισμικό και ούτε είχε ποτέ ζητήσει πρόσβαση σε αυτό. Η λειτουργία του είχε ανατεθεί πλήρως και αποκλειστικώς στην τρίτη εταιρεία.
Η κρίση του UODO υπήρξε αυστηρή και περιέλαβε όλα τα λάθη που είχαν γίνει και από τις δύο εταιρείες.
Για τη μεν McDonald’s Polska διαπιστώθηκε ότι:
- είχε παραβιάσει το άρθρο 28 παρ.1 ΓΚΠΔ, καθώς είχε χρησιμοποιήσει εκτελούντα την επεξεργασία, ο οποίος δεν παρείχε επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων. Για την παράβαση αυτή επιβλήθηκε πρόστιμο ύψους 382.000 ευρώ.
- είχε παραβιάσει τα άρθρα 24 παρ.1, 25 παρ.1 και 32 παρ.1 και 2 ΓΚΠΔ, καθώς δεν είχε εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων, δεν είχε ακολουθήσει τακτικούς ελέγχους και αξιολογήσεις για την αποτελεσματικότητα των μέτρων που είχαν ληφθεί, δεν είχε εκτιμήσει την επίπτωση και τους κινδύνους από την επεξεργασία δεδομένων των εργαζομένων μέσω του λογισμικού και είχε, ως εκ τούτου, ενεργήσει κατά παράβαση των αρχών της εμπιστευτικότητας, της ελαχιστοποίησης των δεδομένων και της λογοδοσίας. Για τις παραβάσεις αυτές επιβλήθηκε πρόστιμο ύψους 3.179.000 ευρώ.
- είχε παραβιάσει την υποχρέωση του άρθρου 38 παρ.1 ΓΚΠΔ σχετικά με τη διασφάλιση της συμμετοχής του Υπευθύνου Προστασίας Δεδομένων (DPO) σε όλα τα ζητήματα που σχετίζονται με την προστασία των προσωπικών δεδομένων, καθώς όπως προέκυψε, η ανάμειξη του DPO της εταιρείας στην επίμαχη επεξεργασία ήταν μηδενική. Για την παράβαση αυτή επιβλήθηκε πρόστιμο ύψους 397.000 ευρώ.
- είχε παραβιάσει την υποχρέωση του άρθρου 34 παρ.1 και 3γ ΓΚΠΔ για ανακοίνωση της παραβίασης στα υποκείμενα των δεδομένων, καθώς η εταιρεία είχε αφήσει εκτός ατομικής ενημέρωσης του πρώην εργαζόμενους της, για τους οποίους περιορίστηκε σε μια δημόσια ανακοίνωση. Για την παράβαση αυτή απευθύνθηκε επίπληξη.
Επισημαίνεται πως η ευθύνη της McDonald’s Polska για τις ως άνω παραβάσεις δεν κάλυπτε μόνο το δικό της προσωπικό, αλλά επεκτάθηκε και στους υπαλλήλους των δικαιοδόχων της, τα δεδομένα των οποίων επίσης ετύγχαναν επεξεργασίας μέσω του επίμαχου λογισμικού. Όπως έκρινε η πολωνική αρχή, η εταιρεία ενήργησε ως υπεύθυνος επεξεργασίας για το σύνολο των προσώπων αυτών, καθώς το λογισμικό ανήκε στην ίδια ενώ αυτή ήταν και ο φορέας που είχε καθορίσει τους σκοπούς και τα μέσα της επεξεργασίας.
Βαρύτατες ήταν και οι ευθύνες που καταλογίστηκαν στον εκτελούντα την επεξεργασία, την εταιρεία που είχε αναλάβει τη διαχείριση των βαρδιών του προσωπικού, με το συνολικό πρόστιμο να είναι σημαντικά χαμηλότερο και να ανέρχεται στις 43.000 ευρώ.
Σύμφωνα με την απόφασή του, ο UODO διαπίστωσε ότι η εταιρεία αυτή:
- είχε παραβιάσει το άρθρο 32 παρ.1 και 2 σε συνδυασμό με το άρθρο 28 παρ.3γ’ ΓΚΠΔ, καθώς απέτυχε να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των δεδομένων, καθώς και να προβεί σε τακτικούς ελέγχους της αποτελεσματικότητας των μέτρων που είχε λάβει. Για την παράβαση αυτή επιβλήθηκε πρόστιμο ύψους 22.000 ευρώ.
- είχε παραβιάσει το άρθρο 28 παρ.4 και 9 ΓΚΠΔ, καθώς είχε χρησιμοποιήσει τρίτο υπεργολάβο για τις πράξεις επεξεργασίας που της είχαν ανατεθεί, χωρίς να μεριμνήσει για τον καθορισμό των υποχρεώσεών του μέσω σύμβασης. Για την παράβαση αυτή επιβλήθηκε πρόστιμο ύψους 10.000 ευρώ.
- είχε παραβιάσει το άρθρο 38 παρ.1 ΓΚΠΔ, καθώς, όπως και η υπεύθυνη επεξεργασίας, δεν είχε διασφαλίσει τη συμμετοχή του DPO της στα ζητήματα επεξεργασίας δεδομένων που εν προκειμένω ετίθεντο. Για την παράβαση αυτή επιβλήθηκε πρόστιμο ύψους 11.000 ευρώ.
