Czy umowa z podmiotem przetwarzającym wystarcza? Zyskaj z nami pewność.
Decyzją z dnia 23 czerwca 2025 r. Prezes UOKiK nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16.932.657 zł oraz udzielił upomnienia za naruszenie przepisów o ochronie danych osobowych. Prezes UOKiK nałożył także karę pieniężną na podmiot przetwarzający. Przeprowadzone postępowanie wykazało m.in., że McDonald’s Polska Sp. z o.o. nie zweryfikowała podmiotu przetwarzającego pod kątem zdolności do zabezpieczenia powierzonych danych osobowych. Wcześniej podmioty współpracowały w zakresie public relations.
Podmiot przetwarzający nie zapewnił wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie chroniło prawa podmiotów danych, a administrator nie przeprowadził analizy ryzyka i nie uwzględnił zagrożeń płynących z usług swojego podwykonawcy.
Powierzenie danych osobowych podmiotowi przetwarzającemu, nawet w trybie zawartej pisemnej umowy, nie zwalnia administratora z faktycznego zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami RODO, a w szczególności z regularnego testowania, mierzenia oraz oceniania skuteczności środków technicznych i organizacyjnych.
Jak bezpiecznie powierzyć przetwarzanie danych?
- ogranicz zakres powierzonych danych osobowych do danych niezbędnych do osiągnięcia celu przetwarzania;
- przetestuj procesora przez poznanie jego praktyk w zakresie przetwarzania danych.
#RODO #UOKiK #kara #ochrona #daneosobowe #weryfikujpodwykonawcę #testprocesora