Poinformował o tym Urząd Ochrony Danych Osobowych. Ale spokojnie: chodzi jedynie o dane pracowników, a nie kupujących Big Maca i frytki.
Naruszenie – jak poinformował urząd – polegało na nieuprawnionym dostępie do informacji dotyczących pracowników restauracji McDonald’s w Polsce zawartych w narzędziu do wyświetlania grafików pracy. Co istotne, o kłopocie poinformowała sama spółka. Nie jest więc tak, że została „przyłapana” przez urzędników. Po prostu przytrafił się błąd, o którym – zgodnie z prawem – podmiot poinformował prezesa urzędu.
UODO informuje na swej stronie internetowej, że zwrócił się już do spółki o złożenie wyjaśnień dotyczących stosowanych środków organizacyjnych i technicznych, a w szczególności czy spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów i pracowników Spółki. Ponadto w przedmiocie zainteresowań prezesa UODO jest wyjaśnienie okoliczności w jaki sposób doszło do umieszczenia pliku zawierającego dane osobowe na publicznie dostępnym katalogu. Ewentualne dalsze kroki organ nadzorczy podejmie po ustaleniu wszelkich okoliczności w tej sprawie.
Naruszenie ochrony danych osobowych: co przedsiębiorca powinien zrobić w takim wypadku?
Każdy przedsiębiorca – także ci znacznie mniejsi od króla fast-foodów – powinien pamiętać, że ma obowiązek zgłaszać naruszenia ochrony danych osobowych w ciągu 72 godzin od chwili stwierdzenia. Zgłaszać należy wszystkie te incydenty, w przypadku których istnieje prawdopodobieństwo szkodliwego wpływu na osoby, których dane dotyczą. UODO interpretuje to tak, że chodzi przede wszystkim o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Najbezpieczniej jest informować urząd o każdym takim przypadku – lepiej by urzędnicy ocenili, czy trzeba było dokonać zgłoszenia, czy nie. Za niedokonanie zgłoszenia grozi bowiem wielomilionowa kara.
Ciekawe jest to, że urząd podał nazwę spółki, która dokonała zgłoszenia. Z jednej strony praktyka ta ma służyć przekazywaniu informacji o tym, że mogło coś niewłaściwego stać się z danymi, najbardziej zainteresowanym. Innymi słowy, pracownicy sieci fast-food dowiedzą się o zdarzeniu jeśli nie od samego pracodawcy, to od urzędu. Z drugiej strony jednak publiczne informowanie o nieprawidłowościach może zniechęcać przedsiębiorców do przekazywania informacji o wykrytych nieprawidłowościach.
