Dlaczego ta sprawa jest ważna dla każdej organizacji?

Administrator został ukarany kwotą 16 932 657 zł, a podmiot przetwarzający – 183 858 zł. Wnioski z decyzji UODO mają charakter uniwersalny: odpowiedzialność za ochronę danych osobowych jest wspólna, a brak analizy ryzyka, błędy konfiguracyjne i pominięcie Inspektora Ochrony Danych (IOD) skutkują poważnymi konsekwencjami.

Tło sprawy – jak doszło do naruszenia RODO

McDonald’s powierzył 24/7 Communication przetwarzanie danych pracowników do zarządzania grafikami. Dane obejmowały m.in. imię i nazwisko, PESEL/paszport, numer restauracji, harmonogramy i dni wolne. Wskutek błędnej konfiguracji serwera baza stała się publicznie dostępna.

Kluczowe problemy zidentyfikowane przez UODO

• Brak analizy ryzyka po obu stronach.
• Brak odpowiednich zabezpieczeń technicznych i organizacyjnych.
• Brak realizacji umowy powierzenia (m.in. audytów).
• Brak umowy dalszego powierzenia przy korzystaniu z podwykonawcy.
• Pominięcie IOD w procesach decyzyjnych.
• Naruszenie zasady minimalizacji danych.

Rola administratora danych – RODO nie pozwala „zrzucić” odpowiedzialności

Zgodnie z art. 24, 25 i 32 RODO administrator zawsze odpowiada za bezpieczeństwo danych. Weryfikacja kompetencji procesora, wymogi bezpieczeństwa i egzekwowanie postanowień umowy powierzenia to obowiązki, których nie można delegować.

Rola podmiotu przetwarzającego (procesora) – pełna odpowiedzialność

• Przeprowadzenie analizy ryzyka i regularne testowanie zabezpieczeń.
• Prawidłowa konfiguracja serwerów i kontrola dostępu.
• Zawarcie umów podpowierzenia z każdym podwykonawcą.

UODO potwierdził, że procesor ma obowiązek zapewnić poziom bezpieczeństwa zgodny z art. 32 RODO – żadna umowa nie może tego ograniczyć.

Znaczenie Inspektora Ochrony Danych (IOD)

IOD powinien być włączony w procesy wyboru i nadzoru nad procesorem oraz w projektowanie środków technicznych i organizacyjnych. Pominięcie IOD to naruszenie dobrych praktyk i zwiększone ryzyko incydentów.

Praktyczne wnioski i checklisty dla zgodności z RODO

Checklist: przed powierzeniem danych

• Ocena ryzyka i due diligence procesora (kontrole, certyfikacje, referencje).
• Umowa powierzenia z precyzyjnymi wymaganiami bezpieczeństwa i prawem audytu.
• Weryfikacja łańcucha podwykonawców i umów podpowierzenia.

Checklist: w trakcie współpracy

• Regularne audyty i testy bezpieczeństwa.
• Monitorowanie konfiguracji i uprawnień dostępowych.
• Aktualizacja analizy ryzyka i dokumentacji.
• Stałe zaangażowanie IOD.

Checklist: po incydencie

• Bezpośrednie powiadomienie osób dotkniętych naruszeniem (art. 34 RODO).
• Analiza przyczyn źródłowych i plan działań naprawczych.
• Minimalizacja zakresu danych (np. identyfikatory zamiast PESEL).

FAQ – najczęstsze pytania o odpowiedzialność administratora i procesora

1) Czy podpisanie umowy powierzenia zwalnia administratora z odpowiedzialności?

• Nie. Administrator nadal odpowiada za dobór procesora, wymagania bezpieczeństwa i nadzór (art. 24, 28 i 32 RODO).

2) Kiedy muszę zawrzeć umowę podpowierzenia?

• Zawsze, gdy procesor angażuje kolejnego podmiot przetwarzający dane w Twoim imieniu (art. 28 ust. 4 i 9 RODO).

3) Jaką rolę pełni IOD w relacji administrator–procesor?

• IOD wspiera w analizie ryzyka, ocenie środków bezpieczeństwa, auditach oraz w komunikacji z UODO i osobami, których dane dotyczą.

4) Jak informować osoby o naruszeniu danych?

• Bezpośrednio – indywidualnym kanałem komunikacji (np. e-mail/list), w sposób jasny i terminowy, zgodnie z art. 34 RODO.

Jak pomagamy jako IOD / doradcy RODO

• Pełnienie funkcji Inspektora Ochrony Danych (outsourcing IOD).
• Audyt RODO, analiza ryzyka i testy bezpieczeństwa.
• Projektowanie i wdrażanie środków technicznych i organizacyjnych.
• Przygotowanie i egzekwowanie umów powierzenia i podpowierzenia.
• Procedury reagowania na incydenty i komunikacja z UODO/osobami, których dane dotyczą.
• Szkolenia dla kadry i pracowników.

Skontaktuj się z nami – doradzimy, jak wdrożyć skuteczne zabezpieczenia i uniknąć kar RODO.