31 lipca 2025

17 mln zł kary od UODO za naruszenie RODO – jakie wnioski dla HR?

Niedawna decyzja Prezesa UODO nałożyła na McDonald’s Polska oraz spółkę 24/7 Communication (procesora danych) wysokie kary finansowe za naruszenia ochrony danych osobowych pracowników. W wycieku ujawniono m.in. imiona i nazwiska, numery PESEL i paszportów, godziny pracy oraz inne dane pracownicze, które znalazły się w publicznie dostępnej lokalizacji.

Analiza ryzyka i zabezpieczenie danych pracowników

Prezes UODO podkreślił, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych spoczywa zarówno na administratorze, jak i na podmiocie przetwarzającym (procesorze). Co ważne, nie jest to działanie jednorazowe – środki bezpieczeństwa wymagają regularnego przeglądu i aktualizacji wraz ze zmianą ryzyk. W przypadku administratora danych zabrakło przeprowadzenia analizy ryzyka dla procesu zarządzania grafikami pracy oraz doboru właściwych zabezpieczeń. W efekcie doszło do błędnej konfiguracji serwera obsługiwanego przez procesora, co umożliwiło nieuprawniony dostęp do baz danych z danymi pracowników. Ani administrator, ani procesor nie dokonali oceny ryzyka ani nie wdrożyli środków adekwatnych do skali i charakteru przetwarzania. Przed wdrożeniem nowych systemów HR lub powierzeniem danych zewnętrznej firmie zawsze należy przeanalizować ryzyka i zapewnić odpowiednie zabezpieczenia (np. konfiguracja serwerów, szyfrowanie, kontrola dostępu).

Nadzór nad procesorem i umowa powierzenia danych

Administrator powierzył przetwarzanie danych firmie zewnętrznej, jednak nie sprawował nad nią należytego nadzoru. Choć podpisano umowę powierzenia przetwarzania danych osobowych, jej postanowienia – takie jak prawo audytu czy kontrola przestrzegania zabezpieczeń – nie były realizowane. Postępowanie wykazało również, że administrator nie zweryfikował rzetelnie, czy wybrany procesor zapewnia wystarczające gwarancje ochrony danych; decyzję oparto głównie na wcześniejszej współpracy. Dla osób odpowiedzialnych za obszar ochrony danych lub HR (a często są to te same osoby) oznacza to konieczność dopilnowania, aby każda umowa powierzenia danych osobowych była kompletna (obejmowała m.in. procedury kontroli, zgodę na podwykonawców i wymagane zabezpieczenia) oraz aby w praktyce administrator monitorował działania procesora. Samo podpisanie umowy nie zwalnia administratora z odpowiedzialności – musi on aktywnie dbać o bezpieczeństwo danych, nawet jeśli przetwarzanie zleca podmiotowi zewnętrznemu.

Zasada minimalizacji danych pracowniczych

W toku postępowania UODO stwierdził także naruszenie zasady minimalizacji danych. W używanym systemie grafików gromadzono więcej danych, niż było to niezbędne – np. numery PESEL i paszportów pracowników używano jako identyfikatory, choć do zarządzania czasem pracy w restauracji wystarczyłby wewnętrzny numer pracownika. Z perspektywy HR ważne jest, by okresowo przeglądać zakres zbieranych danych osobowych pseudonimizować dane, a nadmiarowych informacji nie zbierać, albo gdy miało już to miejsce – usuwać. Zasada minimalizacji nakazuje ograniczanie danych do niezbędnego minimum – przetwarzane powinny być tylko te dane, które są konieczne dla zrealizowania celu.

Rola IOD i informowanie pracowników o naruszeniach

Decyzja UODO wykazała, że Inspektor Ochrony Danych (IOD) nie był odpowiednio włączany w kluczowe procesy – m.in. pominięto go przy analizie i wyborze procesora oraz przy wdrażaniu modułu grafików. Takie pominięcie ograniczyło możliwość zidentyfikowania zagrożeń i zapobieżenia naruszeniu. Działy HR powinny ściśle współpracować z IOD przy projektowaniu nowych rozwiązań związanych z danymi pracowników. Pomoże to zidentyfikować potencjalne ryzyka i zadbać o zgodność z RODO na etapie planowania zmian.

Zamiast podsumowania: zalecenia dla działów HR

Przypadek McDonald’s pokazuje, jak kosztowne mogą być zaniedbania w obszarze ochrony danych pracowników. Łączne kary dla administratora sięgnęły niemal 17 milionów złotych. Aby uniknąć podobnych sytuacji, działy HR powinny wdrożyć następujące dobre praktyki:

  • Regularna analiza ryzyka: przed uruchomieniem nowych systemów HR lub udostępnieniem danych pracowników partnerom zewnętrznym należy dokonać oceny ryzyka i adekwatności zabezpieczeń.
  • Nadzór nad dostawcami (procesorami): zabezpieczenia potencjalnych dostawców usług przetwarzających dane osobowe pracowników powinny być weryfikowane. Konieczne jest zawarcie umowy powierzenia danych oraz egzekwowanie jej zapisów.
  • Minimalizacja danych: gromadzone i przetwarzane powinny być wyłącznie takie dane pracowników, które są niezbędne do osiągnięcia założonego celu. Przechowywanie danych powinno być ograniczone wyłącznie do sytuacji, gdy jest to absolutnie konieczne – w pozostałych przypadkach zalecane jest używanie np. wewnętrznych numerów identyfikacyjnych.

Procedury reagowania na naruszenia: należy opracować plan reagowania na incydenty, obejmujący m.in. szybkie powiadomienie działu IT oraz osób, które zapewniają wsparcie w obszarze ochrony danych, ocenę ryzyka zdarzenia, terminowe zgłoszenie naruszenia do PUODO oraz powiadomienie poszkodowanych osób.

Kontrole i incydenty

31 lipca 2025

Udostępnij:

Autorzy:

Paweł Tański

radca prawny / partner zarządzający

Zobacz również

31 lipca 2025

Udostępnianie danych byłego pracownika a RODO – co wolno, a co narusza przepisy?

Kontrole i incydenty
Wszystkie z tej kategorii

Ustawienia Prywatności

Zdecyduj, które ciasteczka chcesz włączyć Możesz zmienić ustawienia w dowolnym momencie. Pamiętaj, że ograniczenie ciasteczek może zablokować korzystanie z niektórych funkcji. Aby uzyskać informacje na temat usuwania plików cookie, skorzystaj z funkcji pomocy w swojej przeglądarce. Dowiedz się więcej o używanych przez nas plikach cookie.

Za pomocą suwaka można włączać i wyłączać różne typy plików ciasteczek:

  • Zablokuj wszystkie
  • Elementy zasadnicze
  • Funkcjonalne
  • Analityczne
  • Reklamowe

Ta strona będzie:

  • Pamiętać, którą grupę plików cookie zaakceptowałeś

Ta strona internetowa nie będzie:

  • Zapamiętywać nazwę użytkownika i hasło
  • Istotne: Zapamięta ustawienia uprawnień dla ciasteczek
  • Istotne: Włączy ciasteczka sesyjne
  • Istotne: Odczyta informacje wprowadzone do formularzy kontaktowych
  • Istotne: Zapamięta produktu dodane do koszyka zakupowego
  • Istotne: Uwierzytelni czy jesteś zalogowany na konto użytkownika
  • Istotne: Zapamięta wybraną wersję językową
  • Funkcjonalne: Zapamiętywać ustawienia sieci społecznościowych
  • Funkcjonalne: Zapamiętywać wybrany kraj i region
  • Analityczne: Zapisywać informacje dotyczące odwiedzonych podstron i podjętych na nich działań
  • Analityczne: Zapisywać informacje dotyczące Twojego położenia i regionu na podstawie numeru IP
  • Analityczne: Zapisywać czas spędzony na poszczególnych podstronach
  • Analityczne: Zwiększać jakość danych statystycznych
  • Reklamowe: Dostosuje informacje reklamowe do Twoich zainteresowań na podstawie np. treści, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania reklam)
  • Reklamowe: Zbierać danych osobowe, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: zapamiętaj ustawienie uprawnień do plików cookie
  • Essential: Zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Essential: Śledź, co wkładasz do koszyka
  • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
  • Essential: Zapamiętaj wybraną wersję językową

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: Zapamiętaj wybrany region i kraj
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: Śledź czas spędzony na każdej stronie
  • Analytics: Zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
  • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: zapamiętaj ustawienie uprawnień do plików cookie
  • Essential: Zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Essential: Śledź, co wkładasz do koszyka
  • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
  • Essential: Zapamiętaj wybraną wersję językową
  • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: Zapamiętaj wybrany region i kraj

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: Śledź czas spędzony na każdej stronie
  • Analytics: Zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
  • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Reklama: wykorzystuj informacje do dostosowanej reklamy ze stronami trzecimi
  • Reklama: pozwala łączyć się z serwisami społecznościowymi
  • Reklama: Zidentyfikuj urządzenie, z którego korzystasz
  • Reklama: Zbierz dane osobowe, takie jak imię i nazwisko oraz lokalizację

Ta strona będzie:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Use information for tailored advertising with third parties
  • Advertising: Allow you to connect to social sitesl Advertising: Identify device you are using
  • Advertising: Gather personally identifiable information such as name and location

Ta strona internetowa nie będzie:

  • Zapamiętaj dane logowania
Zapisz i zamknij