Amendă administrativă în valoare de 4.022.773 euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication pentru încălcarea prevederilor legale stipulate în GDPR

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 4.022.773 euro pentru McDonald’s Polska și 43.680 euro pentru 24/7 Communication aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 28 (Persoana împuternicită de operator), articolului 32 (Securitatea prelucrării), articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) și articolului 38 (Funcția responsabilului cu protecția datelor) din GDPR.

       Compania McDonald’s Polska sp. z o.o. (McDonald’s) a notificat o încălcare a securității datelor, în calitate de operator, constatând că următoarele date ale angajaților săi și ale francizaților săi erau incluse în fișierul partajat din catalogul public: nume, numere de identificare personală (numere PESEL), numere de pașaport (dacă numărul PESEL nu este disponibil), numărul restaurantului McDonald’s, data și ora începerii activității, data și ora încheierii activității, numărul de ore lucrate, concedii, tipul de activitate, etc.

       În urma investigației s-a constatat că nici operatorul (McDonald’s Polska), nici persoana împuternicită de operator (24/7 Communication) nu au efectuat o analiză a riscurilor și nu au implementat măsuri tehnice și organizatorice suficiente pentru protecția datelor cu caracter personal. În plus, nu a fost implicat corespunzător responsabilul cu protecția datelor, iar obligațiile de audit și monitorizare a partenerilor nu au fost respectate.

       SA Poloneză a subliniat că responsabilitatea pentru protecția datelor revine atât companiilor care colectează și gestionează date cu caracter personal, cât și partenerilor lor contractuali. Măsurile de securitate trebuie verificate și actualizate constant, nu doar la începutul prelucrării datelor.

       În acest context, SA Poloneză a impus o amendă administrativă în valoare de 4.022.773 euro companiei McDonald’s Polska și 43.680 euro companiei 24/7 Communication.

      CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.