aktualności
„Za ochronę danych osobowych są odpowiedzialni zarówno administrator, jak i podmiot przetwarzający”. Taki tytuł nosi komunikat UODO informujący o drugiej najwyższej administracyjnej karze pieniężnej nałożonej przez rodzimy organ – 16.932.657 zł dla administratora (McDonald’s Polska sp. z o.o.) i 183.858 zł dla jego podmiotu przetwarzającego.
Wskazane kary nałożone zostały decyzją Prezesa UODO z 23.06.2025 r. Na ponad 114 stronach decyzji w 408 punktach organ ten przedstawił stan faktyczny, w tym szereg dostrzeżonych przez siebie naruszeń przepisów o ochronie danych w postępowaniu administratora i podmiotu przetwarzającego, a także uzasadnienie swojego rozstrzygnięcia. To co warte podkreślenia, na dzień publikacji tego artykułu wskazana decyzja jest nieprawomocna i zarówno McDonald‘s Polska, jak również jej podmiot przetwarzający mogą zaskarżyć ją do Wojewódzkiego Sądu Administracyjnego. Pomimo tego stanowi ona cenne źródło poglądów Prezesa UODO, które powinny być uwzględniane przez administratorów danych i procesorów. Co więcej, jest też istotnym źródłem na temat tego jak (nie) współpracować z organem nadzorczym w toku postępowania i właśnie tym zagadnieniom poświęcony będzie ten artykuł.
O CO CHODZI W SPRAWIE?
Postępowanie Prezesa UODO ma swój początek w lipcu 2020 r. Wówczas wpłynęły do niego zawiadomienia o naruszeniu ochrony danych osobowych od McDonald’s Polska i franczyzobiorców marki. Dotyczyły one błędu podmiotu przetwarzającego, który zamieścił niezabezpieczony plik z bazą danych w publicznie dostępnym katalogu na serwerze. Umożliwiało to nieuprawnionym osobom pobranie tego pliku i zapoznanie się z jego zawartością. W pliku tym znajdowały się dane osobowe pracowników w zakresie ich imion i nazwisk, numerów PESEL lub serii i numerów paszportów, dat i godzin rozpoczęcia/zakończenia pracy, liczby przepracowanych godzin, stanowisk, dni wolnych.
Po otrzymaniu ww. zawiadomień Prezes UODO nabrał wątpliwości co do prawidłowego wywiązywania się przez administratora (McDonald’s Polska) i jego podmiot przetwarzający z obowiązków wynikających z RODO. Wszczął w związku z tym postępowanie mające na celu weryfikację tych kwestii, które zakończyło się wydaniem decyzji karowej.
ZA CO NAŁOŻONO KARĘ I JAKIE PŁYNĄ Z TEGO WNIOSKI?
Na początku warto zacząć od pewnego frazesu – kara nie została nałożona za naruszenie ochrony danych osobowych. Naruszenie to było jednak przyczynkiem do tego, aby Prezes UODO przyjrzał się działalności administratora i podmiotu przetwarzającego. To z kolei doprowadziło go do wniosku, że:
Administrator nie dokonał prawidłowej weryfikacji swojego podwykonawcy
W toku postępowania Prezes UODO ustalał m.in. w jaki sposób McDonald’s Polska realizował swój obowiązek weryfikacji, czy podmiot przetwarzający, z którego usług korzystał, zapewnia odpowiednie gwarancje wdrożenia środków zapewniających przestrzeganie RODO oraz ochronę praw podmiotów danych.
Administrator wykazywał, że dokonał wyboru podwykonawcy na podstawie wcześniejszej, wieloletniej współpracy z tym podmiotem oraz referencji udzielonych mu przez inne podmioty. Problem polegał jednak na tym, że przedstawione w toku postępowania referencje nie dotyczyły usługi przetwarzania danych, z której korzystał McDonald’s, a ponadto 3 z 5 takich referencji zostały udzielone już po nawiązaniu współpracy. Nie mogły więc one naturalnie być podstawą do oceny podwykonawcy przed powierzeniem przetwarzania.
Co więcej, Prezes UODO wypunktował administratora, że przy wyborze ww. podwykonawcy nie stosował się on do swoich własnych procedur, które przewidywały inną ścieżkę weryfikacji podmiotu przetwarzającego. Te zostały zastosowane dopiero po wystąpieniu naruszenia, a nawet wówczas weryfikacja była przeprowadzona wadliwie bowiem ograniczyła się jedynie do zgromadzenia informacji za pomocą formularza, bez poddania tych informacji analizie/ocenie przez McDonald’s. W decyzji podkreślono również istotną rolę inspektora ochrony danych. Wskazano, że inspektor powinien być włączony w proces wyboru podmiotu przetwarzającego, zawarcia umowy powierzenia przetwarzania danych oraz monitorowania przebiegu współpracy.
Wnioski:
- sama długotrwała współpraca z dostawcą nie pozwala uznać, że zapewnia on gwarancje przestrzegania RODO i ochrony praw podmiotów danych, jeżeli w toku tej współpracy nie przeprowadzano audytów lub inspekcji potwierdzających odpowiedni poziom ochrony danych,
- weryfikacja podmiotu przetwarzającego powinna mieć formę sformalizowaną i udokumentowaną, opartą nie tylko na pozyskaniu, ale też na analizie informacji uzyskanych od procesora i wyciągnięciu z tego określonych wniosków,
- wdrażając procedury należy pamiętać o tym, że ich rola nie kończy się na spisaniu. Powinny one być faktycznie stosowane przez organizacje, a ich stosowanie powinno być udokumentowane,
- inspektor ochrony danych pełni rolę kluczową z perspektywy zgodności organizacji z przepisami prawa i przez to powinien być włączany w proces powierzania przetwarzania danych – od momentu wyboru wykonawcy, aż do momentu zakończenia tej współpracy.
Administrator i procesor nie przeprowadzili analizy ryzyka i nie wdrożyli właściwych środków bezpieczeństwa
Prezes UODO ustalił, że zarówno administrator, jak i podmiot przetwarzający, nie wypełnili swojego obowiązku w zakresie przeprowadzenia analizy ryzyka dla procesu przetwarzania danych osobowych w ramach aplikacji grafików pracowniczych i migracji tej aplikacji na inny serwer.
Organ słusznie podkreślił, że obowiązek przeprowadzenia analizy ryzyka obciąża zarówno administratora, jak i podmiot przetwarzający. W ramach takiej analizy każdy z nich powinien zidentyfikować zasoby biorące udział w przetwarzaniu, wiążące się z tym zagrożenia i mogące być ich źródłem podatności, a także ustalić środki bezpieczeństwa i ocenić ich adekwatność do zagrożeń.
Podmiot przetwarzający nie może przy tym zaniechać analizy odwołując się do tego, że nie jest właścicielem zasobu wykorzystywanego przy przetwarzaniu danych.
Odnosząc się z kolei do obowiązków administratora, który decyduje się powierzyć proces zasadniczo w całości podmiotowi przetwarzającemu, Prezes UODO wskazał, że również nie jest on zwolniony z analizy ryzyka. Ta powinna bowiem dotyczyć w takim przypadku analizy ryzyka wiążącego się ze współpracą z podwykonawcą, w tym ryzyka braku odpowiedniej weryfikacji takiego podmiotu, czy niezastosowania przez niego odpowiednich środków bezpieczeństwa. Przeprowadzając taką analizę administrator może skorzystać ze swoich uprawnień do żądania od podmiotu przetwarzającego udzielenia administratorowi pomocy przy wywiązywaniu się z obowiązku ustalenia ryzyka i wdrożenia właściwych środków.
W przedmiotowej sprawie administrator i podmiot przetwarzający ww. obowiązkom nie podołali. Pomimo obowiązujących u siebie procedur wewnętrznych nie dokonali oni analizy ryzyka dla procesu aplikacji grafikowej i migracji danych.
Konsekwencją ww. zaniechania jest w ocenie Prezesa UODO niewdrożenie przez ww. podmioty właściwych środków technicznych i organizacyjnych. Co istotne, Organ uznał, że wdrożenie właściwych (adekwatnych) środków bezpieczeństwa nie jest możliwe bez wcześniejszego przeprowadzenia analizy ryzyka. W takim przypadku w ocenie Organu wdrożone środki nie mogą być uznane za adekwatne – skoro nie wiadomo jakie ryzyka miałyby być nimi zabezpieczane.
Pogląd ten jest dyskusyjny – oczywiście analiza ryzyka powinna wyprzedzać wdrożenie właściwych środków. Można jednak wyobrazić sobie sytuacje, w której pomimo braku udokumentowanej analizy ryzyka administrator wdrożył środki bezpieczeństwa, które były obiektywnie adekwatne do zagrożeń przy uwzględnieniu charakteru przetwarzania oraz kosztów wdrożenia takich rozwiązań. Wydaje się, że w takim przypadku możliwe byłoby też wykazywanie przed Prezesem UODO, że środki te były właściwe w oparciu o analizę ryzyka przeprowadzoną po zdarzeniu, ale odnoszącą się do stanu faktycznego sprzed jego zaistnienia i chociaż analiza taka byłaby przeprowadzona zbyt późno, to dawałaby szanse na to, aby ustrzec się przed zarzutem braku adekwatnych środków.
Uwagą, która zasługuje też na podkreślenie jest odpowiedź Prezesa UODO na twierdzenie McDonald’s Polska, że środkiem organizacyjnym zapewniającym bezpieczeństwo danych było zawarcie umowy powierzenia z podmiotem przetwarzającym. Organ nie zgodził się z taką tezą. Podkreślił on, że umowa mogłaby zostać uznana za taki środek tylko wówczas, gdyby administrator wykazał, że w jej trakcie audytował swojego podwykonawcę, sprawdzając czy faktycznie przestrzega on wynikających z tej umowy obowiązków.
Ważne! Chociaż rzadko się to zdarza w przedmiotowej decyzji Prezes UODO udzielił wskazówki co do stosowanych środków bezpieczeństwa. Odnosząc się bowiem do korzystania z publicznych katalogów wskazał on, że: „np. stworzenie pliku o nazwie indx.html lub indx.php, znacząco utrudniłoby podgląd zawartości serwera, do którego kierowała nazwa domeny. Wskazane rozwiązanie jest jednym z najprostszych sposobów zabezpieczeń stron internetowych”.
Wnioski:
- obowiązek przeprowadzenia i udokumentowana analizy ryzyka spoczywa zarówno na administratorze, jak i na podmiocie przetwarzającym,
- analiza ryzyka wymaga zidentyfikowania zasobów, a następnie wiążących się z ich wykorzystaniem zagrożeń i mogących je wywołać podatności, a także ustaleniem adekwatnych do nich środków technicznych i organizacyjnych oddziałujących na prawdopodobieństwo wystąpienia takich zdarzeń,
- administrator decydując się powierzyć przetwarzanie danych osobowych powinien ustalić i ocenić ryzyko wiążące się z korzystaniem z usług podwykonawcy,
- analiza ryzyka jest procesem ciągłym i powinna być regularnie przeglądana i aktualizowana,
- środki bezpieczeństwa powinny być dobierane do zidentyfikowanych zagrożeń i ustalonego poziomu ryzyka,
- samo zawarcie umowy powierzenia nie jest środkiem bezpieczeństwa, lecz realizacją obowiązku prawnego. Aby uznać umowę za formę organizacyjnego środka zapewniającego bezpieczeństwo danych, należy wykazać, że w jej trakcie weryfikowano przestrzeganie tej umowy przez podmiot przetwarzający.
Administrator i procesor nie dokonywali regularnej oceny skuteczności środków bezpieczeństwa
Pokłosiem stwierdzenia przez Prezesa UODO, że administrator i procesor nie przeprowadzili analizy ryzyka i nie wdrożyli adekwatnych środków bezpieczeństwa, było też uznanie, że nie dokonywali oni regularnej oceny skuteczności wdrożonych środków.
Prezes UODO zwrócił uwagę, że tak jak procesor nie oceniał stosowanych zabezpieczeń, tak również administrator nie robił tego ani samodzielnie ani przez zlecenie określonych weryfikacji podmiotowi przetwarzającemu, czy też ustalenie czy procesor dokonywał takich weryfikacji we własnym zakresie. Wypunktował on ww. podmioty za brak odpowiednich wewnętrznych regulacji dotyczących regularnego oceniania środków bezpieczeństwa.
W kontekście zarówno przeprowadzenia analizy ryzyka, jak też wdrożenia adekwatnych środków bezpieczeństwa i regularnej oceny ich skuteczności, niezwykle istotne jest też stwierdzenie przez Prezesa UODO, że podmiot przetwarzający nie może usprawiedliwiać niewywiązywania się z tych obowiązków postanowieniami umowy, która łączy go z administratorem czy też budżetem, który przewidziany jest na realizację umowy. Jak słusznie podkreślił Prezes UODO obowiązki procesora w ww. zakresie mają charakter publicznoprawny i wynikają bezpośrednio z przepisów RODO. Nie mogą być więc zmniejszane czy tym bardziej wyłączane w drodze umowy stron. Jako że są to samodzielne obowiązki procesora, ponosi on pełną odpowiedzialność za ich realizację, niezależnie od tego czy ich wykonywanie zostało odpowiednio zabudżetowane przy zawieraniu umowy.
Wnioski:
- administrator i podmiot przetwarzający mają obowiązek oceniania czy stosowane przez nich środki techniczne i organizacyjne są adekwatne do zagrożeń. Ocena taka powinna mieć charakter zaplanowany i zorganizowany, a ponadto powinna być odpowiednio udokumentowana,
- weryfikacja powinna odbywać się pod kątem adekwatności środków wobec ustalonych ryzyk oraz ich proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania danych,
- podmiot przetwarzający nie może uzasadniać niewywiązywania się ze swoich obowiązków przewidzianych wprost w RODO przez odwoływanie się do umowy zawartej z administratorem czy też zakontraktowanego budżetu, który nie obejmuje wykonania przez niego takich obowiązków.
Administrator nie uwzględnił zasady data privacy by default i zasady minimalizacji
Obowiązkiem administratora było wdrożenie odpowiednich środków zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, w tym zasady minimalizacji, a także w celu nadania przetwarzaniu niezbędnych zabezpieczeń, aby spełniało ono wymogi RODO i chroniło prawa podmiotów danych.
W tym kontekście Prezes UODO zarzucił McDonald’s Polska, że nie dokonał on oceny zakresu danych gromadzonych w ramach aplikacji grafikowej z perspektywy ryzyka dla praw i wolności osób fizycznych i tego, że zakres tych danych istotnie zwiększa ryzyko w razie naruszenia ich poufności. Nie wdrożył on również środków, które ryzyko takie by obniżały, jak minimalizacja danych.
Organ uznał też, że przetwarzanie danych osobowych w ramach ww. aplikacji w zakresie numerów PESEL lub numeru i serii paszportu nie było niezbędne dla realizacji celu przetwarzania, którym było zarządzanie grafikami i czasem pracy. Tym samym stwierdził on, że administrator naruszył zasadę minimalizacji danych.
Wnioski:
- administrator na każdym etapie, czyli zarówno przed rozpoczęciem przetwarzania, jak i w jego trakcie, musi uwzględnić ochronę danych osobowych,
- administrator powinien dokonać analizy planowanego przetwarzania z perspektywy ryzyka naruszenia zasad ogólnych oraz praw i wolności podmiotów danych, uwzględniając w tym zakres przetwarzanych danych,
- administrator powinien przestrzegać zasady minimalizacji danych, przetwarzając wyłącznie takie dane, które są niezbędne do realizacji określonego celu. Powinien przy tym uwzględniać stopień wrażliwości danych oraz możliwość zastąpienia danych o wyższym ryzyku innymi informacjami, które mają mniejszy wpływ na prawa i wolności osób, których dane dotyczą.,
- ułomności systemów informatycznych wykorzystywanych przez administratora nie mogą usprawiedliwiać naruszania zasad przetwarzania danych. Tym samym nie stanowi dobrego wytłumaczenia fakt, że system zawiera predefiniowane formularze danych albo nie pozwala on na usuwanie danych osobowych. Jeżeli system nie posiada funkcjonalności pozwalających administratorowi wywiązać się z obowiązków przewidzianych w RODO, powinien on takie funkcjonalności wprowadzić albo z niego zrezygnować.
Administrator i podmiot przetwarzający nie włączali inspektora ochrony danych w sprawy związane z ochroną danych
Zarówno McDonald’s Polska jak i jego podmiot przetwarzający wyznaczyli inspektorów ochrony danych. W ocenie Prezesa UODO nie byli jednak oni włączeni w proces ochrony danych osobowych, w którym doszło do naruszenia.
Co istotne, Prezes UODO przeanalizował procedury obowiązujące u administratora, które przewidywały określony zakres zaangażowania inspektora w poszczególnych zadaniach (np. przy zawieraniu umowy powierzenia, czy weryfikacji procesora). Uznał on jednak, że nie były one w praktyce stosowane. .
Wnioski:
- inspektor ochrony danych powinien być niezwłocznie i właściwie włączany we wszystkie sprawy dotyczące ochrony danych, w tym w proces weryfikacji podmiotu przetwarzającego, dobór odpowiednich środków bezpieczeństwa, okresowe audyty podmiotu przetwarzającego, zawieranie umów powierzenia,
- samo przyjęcie procedur nie jest wystarczające. Administrator/procesor muszą dbać o to, aby zapewnić faktyczne włączanie inspektora w swoje działania i to z odpowiednim wyprzedzeniem i powagą,
- włączanie inspektora w sprawy ochrony danych powinno być udokumentowane.
Podmiot przetwarzający nie zawarł umowy z podprocesorem
Naruszeniem wskazanym przez Prezesa UODO było też korzystanie przez podmiot przetwarzający z usług podwykonawcy, bez zawarcia z nim stosownej umowy podpowierzenia. Stanowiło to nie tylko naruszenie przepisów RODO, ale też naruszenie umowy, która łączyła podmiot przetwarzający z McDonald’s Polska.
Co ciekawe, umowa podpowierzenia została ostatecznie zawarta pomiędzy podmiotem przetwarzającym i podprocesorem, po wystąpieniu naruszenia. Jednocześnie jednak w toku postępowania Prezes UODO wykazał, że przedstawiona umowa była datowana na wcześniejszą datę niż faktyczny dzień jej zawarcia, co spotkało się z jego ujemną oceną.
Wnioski:
- podmiot przetwarzający musi dbać o to, aby korzystając z podwykonawców zawrzeć z nimi stosowne umowy i przenieść na nich obowiązki wynikające z umowy powierzenia,
- umowa powierzenia musi być zawarta w formie pisemnej lub elektronicznej. Dopuszczalne jest też zawarcie takiej umowy w formie dokumentowej, np. przez akceptację regulaminu. W każdym wypadku konieczne jest jednak wykazanie faktycznej daty zawarcia umowy.
Administrator nieprawidłowo zrealizował obowiązek zawiadomienia byłych pracowników o naruszeniu
Prezes UODO postanowił też upomnieć McDonald’s Polska za nieprawidłowe w jego ocenie zawiadomienie byłych pracowników o wystąpieniu naruszenia ochrony danych. Administrator uznał bowiem, że zawiadomienie takich osób indywidualnie byłoby niewspółmiernie dużym ryzykiem – co wiązało się m.in. z tym, że nie ma on pewności, czy posiadane dane adresowe do tych osób są aktualne. Jednocześnie jednak administrator postanowił, że informację o naruszeniu zamieści na swojej stronie internetowej oraz w poczytnych dziennikach, uruchamiając też dedykowaną infolinię udzielającą informacji o naruszeniu.
Organ uznał mimo tego, że publiczne zawiadomienie nie gwarantuje, aby informacja o naruszeniu dotarła do każdej osoby objętej naruszeniem. Wydaje się jednak, że taki pogląd jest zbyt formalistyczny, a w praktyce wysłanie indywidualnych zawiadomień nie niosłoby ze sobą większej wartości dla podmiotów danych. Warto zwrócić uwagę na pewną rozbieżność wewnętrzną w poglądach Prezesa UODO, który uznał, że zawiadomienie przez komunikat publiczny mogłoby nie dotrzeć do każdego z podmiotów danych objętych naruszeniem, nie dostrzegając, że analogiczne ryzyko występuje przy wysyłce listów na adresy pracowników, którzy nie są już zatrudnieni i którzy mogli zmienić miejsce pobytu.
Wysiłki administratora mimo wszystko zostały docenione przez Prezesa UODO, który stwierdzając ww. naruszenie ograniczył się jedynie do udzielenia upomnienia.
GRUNT TO STRATEGIA – CZYLI CO JESZCZE WATO WYPROWADZIĆ Z TEJ DECYZJI?
Przedmiotowa decyzja to nie tylko kopalnia wiedzy na temat oczekiwań Prezesa UODO co do wdrażania ochrony danych osobowych. Warto bowiem wyciągnąć z niej też informacje o tym, jak (nie) należy współpracować z organem nadzorczym. Prezes UODO przeprowadził bowiem w decyzji szeroki opis stanu faktycznego i jego ocenę, w tym ocenę wiarygodności dowodów przedstawianych przez administratora, podmiot przetwarzający oraz podprzetwarzającego.
Przede wszystkim warto zwrócić uwagę, że w sprawach postępowań administracyjnych konieczne jest podejście strategiczne – podobnie jak przy przygotowywaniu się do obrony przed zarzutami w sprawie karnej czy cywilnej. Chaos i niespójność komunikacji zwykle nie odnosi pozytywnych skutków, co wydaje się idealnie pokazywać przedmiotowa sprawa.
Warto więc pamiętać, aby w podobnych sprawach:
- uwzględnić, że postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych ma specyficzny charakter. Wynika on z brzmienia art. 5 ust. 2 RODO, który przenosi ciężar dowodu na administratora/podmiot przetwarzający. To oni w toku postępowania muszą bowiem wykazać, że przestrzegają obowiązków płynących z zasad przetwarzania danych,
- przekazywać tylko te informacje i dokumenty, których żąda organ – często grzechem administratorów/podmiotów przetwarzających jest przekazywanie nadmiarowych dokumentów lub informacji. Czasami wynika to z pewnej przyjętej linii postępowania i próby zasypania organu dokumentami z nadzieją, że pewne rzeczy przeoczy. Innym razem jest to chęć pokazania, że nie ma się nic do ukrycia. W każdym z tych przypadków jest to jednak rozwiązanie ryzykowne i daje organowi możliwość znalezienia większej liczby rozbieżności i punktów zaczepienia,
- przewidywać i planować – w razie wystąpienia zdarzenia rodzącego ryzyko sankcji dla administratora, od początku należy przewidywać co może się dalej wydarzyć i planować sposób postępowania. Zbierz wszystkie informacje, dokumenty, maile jeszcze zanim zapyta Cię o nie organ. Przeanalizuj je. Zastanów się, czy wszystko w sprawie wydarzyło się tak jak jest to opisane w procedurach, a jeżeli nie to dlaczego. Spodziewaj się niespodziewanego – w tym tego, że Wasza wewnętrzna korespondencja może ujrzeć światło dzienne, zweryfikuj co się w niej znalazło. Pamiętaj też, że w obliczu sankcji nie ma przyjaciół – jeżeli sankcja będzie groziła Tobie i podmiotowi przetwarzającemu każdy z Was ostatecznie będzie grał do własnej bramki. Bądź na to gotów. Pamiętaj, że wszystko co robisz teraz może mieć też wpływ na dalsze losy sprawy – np. to, co wydarzy się w postępowaniu administracyjnym, może mieć znaczenie dla przyszłego procesu cywilnego związanego ze szkodami związanymi z naruszeniem przepisów o ochronie danych osobowych,
- dbaj o spójność wyjaśnień i nie daj się ponieść chaosowi – pamiętaj, że postępowanie przed organem nadzorczym może trwać latami. Przygotuj się na to. Pamiętaj, aby utworzyć akta sprawy i regularnie je prowadzić. Dbaj o to, aby każda kolejna komunikacja do organu była spójna z poprzednią. Jeżeli coś się zmieni – wyjaśnij z czego to wynika. Nagła, nieuzasadniona zmiana Twoich wyjaśnień nigdy nie będzie dobrze odebrana i zwykle będzie uznana za próbę zmniejszenia odpowiedzialności lub wprowadzenia organu w błąd,
- pamiętaj o specyfice postępowania administracyjnego – pewnych Twoich błędów lub braków w toku tego postępowania nie uda się już naprawić w postępowaniu przed sądem administracyjnym. Postępowanie to nie ma bowiem na celu powtórzenia postępowania administracyjnego, a jedynie kontrolę wydanej decyzji, która ograniczona jest do jej zgodności z przepisami prawa. Sądy administracyjne zasadniczo nie badają merytorycznych źródeł decyzji, w tym nie prowadzą postępowania dowodowego. Bądź więc aktywny w postępowaniu przed Prezesem UODO, składaj wnioski dowodowe, korzystaj z możliwości rzeczowego odniesienia się do pytań Organu i przedstawienia swojego stanowiska w sprawie.
Podsumowanie
W przedmiotowej sprawie nie padło jeszcze ostatnie słowo. Z pewnością administrator, jak i podmiot przetwarzający skorzystają z drogi sądowej i poddadzą decyzję kontroli wojewódzkiego sądu administracyjnego.
Wydaje się, że mają ku temu podstawy, a jedną z nich jest bliżej nieopisana w decyzji relacja pomiędzy ukaranym McDonald’s Polska i franczyzobiorcami marki. W większości to właśnie pracownicy tych ostatnich zostali dotknięci naruszeniem. Tymczasem UODO w całości uznało, że dane osobowe objęte zdarzeniem były administrowane przez McDonald’s Polska, bez poświęcenia szczególnej uwagi relacji jaka istnieje pomiędzy tymi podmiotami.
Czekamy więc na rozwój wydarzeń.
Patryk Łuczyński
Ekspert ds. ochrony danych osobowych
Poprzedni wpis:Czego uczy kara dla McDonald’s?
NAJNOWSZE WPISY:
Czego uczy kara dla McDonald’s?26 lipca 2025
Wdrożenie zarządzania jakością w placówce14 maja 2025
Prawo Komunikacji Elektronicznej, a marketing bezpośredni23 stycznia 2025
TAGI
Administracyjna kara pieniężna
Administrator danych
administrator danych osobowych
baza danych
bezpieczeństwo danych
Cyberatak
cyberbezpieczenstwo
cyberzagrożenia
dane
dane osobowe
dane wrażliwe
EIOD
EROD
Inspektor Ochrony Danych
IOD
IOD w placówkach oświatowych
ISO 9001
kara finansowa
Kontrola UODO
naruszenie
naruszenie ochrony danych
naruszenie ochrony danych osobowych
Norma ISO 9001
obowiązek informacyjny
ochrona danych
Ochrona danych osobowych
phishing
podmiot przetwarzajacy
przetwarzanie danych
PUODO
RODO
RODO w marketingu
sygnalista
szkolenie RODO
szkolenie z ochrony danych osobowych
szyfrowanie danych
transfer danych
TSUE
UE
umowa powierzenia
UODO
Wdrożenie RODO
wyciek danych
zgoda na gruncie RODO
zgoda na przetwarzanie danych