Polonia: sanzioni per oltre 4 milioni di euro a McDonald’s Polska e 24/7 Communication per carenze nella protezione dei dati

Il Presidente dell’Ufficio per la Protezione dei Dati Personali polacco ha inflitto sanzioni amministrative a McDonald’s Polska sp. z o.o. per un totale di 4.022.773 euro e a 24/7 Communication Sp. z o.o. per 43.680 euro, a seguito di gravi carenze nella gestione dei dati personali dei dipendenti e dei franchisee.

Il caso trae origine dalla segnalazione di un data breach da parte di McDonald’s Polska. Nel corso delle indagini, l’Autorità polacca ha accertato che dati sensibili degli impiegati — tra cui nomi, numeri di identificazione personale (PESEL), numeri di passaporto, orari di lavoro e dettagli sulle ferie — erano presenti in un file condiviso nel catalogo pubblico.

I dati erano gestiti tramite il cosiddetto “employee graphics module”, per il quale McDonald’s, in qualità di titolare del trattamento, non disponeva di poteri di gestione diretta, delegando completamente la responsabilità a 24/7 Communication, incaricata dei servizi di relazioni pubbliche e di gestione del modulo. L’Autorità ha rilevato che né il titolare né il responsabile del trattamento hanno effettuato un’adeguata analisi dei rischi né implementato misure tecniche e organizzative proporzionate. Inoltre, non è stata rispettata la normativa relativa alla sottoscrizione di contratti con eventuali sub-responsabili del trattamento e il DPO non è stato coinvolto nelle decisioni rilevanti.

Le violazioni contestate hanno riguardato in particolare:

• Articolo 24, 25 e 32 del GDPR: responsabilità del titolare del trattamento, protezione dei dati fin dalla progettazione e sicurezza del trattamento;

• Articolo 28: obblighi del responsabile del trattamento e del sub-responsabile;

• Articolo 38: coinvolgimento del Data Protection Officer.

Il totale delle sanzioni per McDonald’s Polska ammonta a 4.022.773 euro, mentre per 24/7 Communication è di 43.680 euro.

L’Autorità polacca ha sottolineato come sia fondamentale che titolari e responsabili del trattamento rispettino costantemente le disposizioni del GDPR, aggiornando misure di sicurezza e coinvolgendo adeguatamente il DPO per prevenire futuri incidenti di sicurezza.

Per ulteriori informazioni sono disponibili il comunicato stampa nazionale e la decisione ufficiale in lingua polacca.

Approfondimenti:

• National press release: Both controller and processor are responsible for the protection of personal data  (Polish)
• National Decision (Polish)