Szerokim echem odbiła się w Internecie informacja o dużym wycieku danych osobowych pracowników sieci popularnych restauracji szybkiej obsługi. McDonald’s, bo to o niej mowa, poinformował, że w wyniku omyłkowego działania polegającego na umieszczeniu kopii bazy danych w nieprzeznaczonym do tego folderze, dane pracowników popularnej sieci były dostępne w Internecie przez ponad rok. Incydent dotyczy informacji przechowywanych w jednym z systemów spółki – Strefa McDonald’s Grafik – który służy do obsługi grafików pracowniczych. Co ciekawe, system ten obsługiwany jest w imieniu McDonald’s Polska, przez znaną agencję PR-ową – 24/7 Communication. Spółka podjęła już szereg działań zmierzających do zminimalizowania ryzyka dalszych naruszeń, w tym zgłosiła incydent do Urzędu Ochrony Danych Osobowych (UODO).
Szeroki katalog danych
McDonald’s Polska wskazał w oświadczeniu, że przedmiotowy incydent dotyczy danych osobowych pracowników spółki zatrudnionych w okresie od maja 2014 r. do stycznia 2019 r. w łącznie 26-u restauracjach McDonald’s. Katalog danych osobowych, który został publicznie udostępniony jest bardzo szeroki. Obejmuje on bowiem takie dane osobowe jak imię i nazwisko pracownika, nr PESEL, nazwę i numer restauracji McDonald’s, w której dany pracownik jest/był zatrudniony, datę i godzinę rozpoczęcia i zakończenia pracy, zajmowane stanowisko oraz rodzaj wykonywanej pracy. W wyniku tego zdarzenia udostępnione zostały także – co szczególnie może niepokoić – informacje na temat ewentualnych powodów nieobecności w pracy. Może to sugerować, że wyciek obejmuje także tzw. dane szczególnych kategorii, tj. – w tym przypadku – informacje na temat stanu zdrowia pracownika.
Spółka poinformowała, że dane osobowe były publicznie udostępnione w okresie od stycznia 2019 r. do 22 lipca 2020 r.
Reakcja administratora
Z oświadczenia opublikowanego na stronie internetowej spółki wynika, że po wykryciu przedmiotowego incydentu, niezwłocznie podjęła ona szereg działań, zmierzających do zminimalizowania potencjalnych negatywnych skutków naruszenia. McDonald’s poinformował pracowników o zaistniałym zdarzeniu, wysyłając im obszerny i treściwy dokument opisujący cały incydent. Pracownicy zostali poinformowani, jakie kroki mogą podjąć w celu zabezpieczenia swoich danych osobowych. Spółka uruchomiła także specjalną infolinię, gdzie można uzyskać pomoc w sprawie tego zdarzenia. Niezależnie od tego, spółka opublikowała informację prasową o incydencie oraz zamieściła komunikat w tej sprawie w ogólnopolskiej prasie – tj. w dzienniku Fakt.
McDonald’s zapewnił, że zaraz po stwierdzeniu naruszenia, plik zawierający dane osobowe pracowników został usunięty. Wskazał on także, że w wyniku przeprowadzonych audytów ustalono, że dane osobowe nie zostały opublikowane na innych stronach internetowych. Sieć poinformowała, że aktualnie podejmuje ona wszelkie niezbędne kroki – wraz z agencją 24/7 Communication – aby zabezpieczyć dane osobowe i zminimalizować skutki tego zdarzenia, w tym monitorują ich ewentualną nieuprawnioną publikację w przyszłości.
McDonald’s zgłosił naruszenie ochrony danych osobowych do UODO. Jesteśmy bardzo ciekawi jakie kroki podejmie regulator w tej sprawie. Wydaje się, że szybka i zdecydowana reakcja spółki może działać na jej korzyść w przypadku ewentualnych konsekwencji, np. finansowych. Ciekawe jest także, czy postępowanie UODO w tej sprawie obejmie jedynie spółkę McDonald’s Polska, czy też również agencję 24/7 Communication.
