Jak rzetelnie weryfikować podmiot przetwarzający dane w imieniu administratora? – sprawa UODO vs. McDonald ’s

Decyzją z dnia 23 czerwca 2025 r. Prezes UOKiK nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16.932.657 zł oraz udzielił upomnienia za naruszenie przepisów o ochronie danych osobowych. Ponadto, w tej samej sprawie Prezes UOKiK nałożył także karę pieniężną na podmiot przetwarzający. Przeprowadzone postępowanie wykazało m.in., że McDonlad’s Polska Sp. z o.o. nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia powierzonych danych osobowych. Wcześniej podmioty współpracowały w zakresie public relations.

Podmiot przetwarzający nie zapewnił wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie chroniło prawa podmiotów danych, a administrator nie przeprowadził analizy ryzyka i nie uwzględnił zagrożeń płynących z usług swojego podwykonawcy.

Powierzenie danych osobowych podmiotowi przetwarzającemu, nawet w trybie zawartej pisemnej umowy, nie zwalnia administratora z faktycznego zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami RODO, a w szczególności z regularnego testowania, mierzenia oraz oceniania skuteczności środków technicznych i organizacyjnych, które mają na celu zapewnienie bezpieczeństwa powierzonym danym.

Prezes UOKiK zarekomendował, aby administratorzy danych osobowych poddawali ocenie zakres przetwarzanych danych osobowych pod kątem ograniczenia ich zakresu tylko do danych niezbędnych do osiągnięcia celu przetwarzania danych, kierując się zasadami minimalizacji (art. 5 ust. 1 lit. c RODO) oraz wdrożenia odpowiednich środków technicznych (art. 25 ust. 1 RODO). W zasadę minimalizacji wpisują się czynności mające na celu zastąpienia jednej danej, generującej wysokie ryzyko, inną daną, np. zastąpienie numeru PESEL numerem identyfikacyjnym.

#RODO #UOKiK #kara #ochrona #daneosobowe