Prawie 17 milionów złotych – tyle zapłaci McDonald’s Polska za rażące naruszenie przepisów RODO. Kara, nałożona przez Urząd Ochrony Danych Osobowych w lipcu 2025 roku, odbiła się szerokim echem nie tylko w branży gastronomicznej, ale i w całym świecie biznesu. To jedna z największych kar w historii polskiego nadzoru nad danymi osobowymi. Jak doszło do tej kompromitującej wpadki i jakie mogą być jej skutki?
Głośny wyciek, cicha reakcja. Jak McDonald’s naruszył RODO?
Cała sprawa ma swój początek jeszcze w 2020 roku, kiedy to McDonald’s Polska powierzył agencji PR 24/7 Communication obsługę narzędzia do planowania grafików pracowniczych. Na pierwszy rzut oka – nic nadzwyczajnego. Problem w tym, że dane zawarte w systemie, obejmujące m.in. imiona i nazwiska, numery PESEL, numery paszportów oraz szczegółowe harmonogramy pracy, zostały udostępnione publicznie przez źle zabezpieczony serwer. Każdy, kto znał bezpośredni link do katalogu z plikami, mógł je pobrać bez żadnego logowania. Sprawa wyszła na jaw po zgłoszeniu incydentu przez osoby trzecie, a przez wiele miesięcy – jak twierdzi UODO – McDonald’s nie potrafił skutecznie zabezpieczyć danych, ani poinformować wszystkich osób poszkodowanych.
Co więcej, administrator nie przeprowadził oceny ryzyka przed powierzeniem danych zewnętrznej agencji i nie podpisał z nią umowy o dalszym powierzeniu przetwarzania informacji. To klasyczne i kosztowne lekceważenie obowiązków wynikających z RODO. W ocenie urzędu, firma nie dopełniła podstawowych standardów ochrony danych, mimo że miała środki i kompetencje, by temu zapobiec. Kara w wysokości 16 932 657 zł ma być nie tylko formą sankcji, ale i mocnym sygnałem dla całego rynku: outsourcing nie zwalnia z odpowiedzialności.
Podobne artykuły
Co dokładnie wyciekło? Zakres danych, które trafiły do sieci
Wyciek danych z systemu grafikowego objął informacje o ogromnym znaczeniu – zarówno pod względem wrażliwości, jak i liczby osób, których dotyczył. W publicznie dostępnych plikach znalazły się m.in. pełne imiona i nazwiska pracowników i franczyzobiorców McDonald’s, numery PESEL oraz numery paszportów, a także godziny rozpoczęcia i zakończenia pracy w poszczególnych dniach.
To kompletna dokumentacja zmianowa, z której łatwo było odtworzyć nie tylko tożsamość danej osoby, ale także jej aktywność zawodową, miejsce pracy, a w niektórych przypadkach nawet lokalizację. Co szczególnie niepokojące, dostęp do danych nie był w żaden sposób ograniczony – wystarczyło wejść na odpowiedni link, by pobrać pliki bez żadnego logowania, autoryzacji czy hasła.
Jak podkreśla UODO, dane były dostępne w sieci przez kilka miesięcy i mogły zostać skopiowane, pobrane lub zarchiwizowane przez nieuprawnione osoby. Oznacza to, że potencjalnie każda z tysięcy osób widniejących na liście mogła paść ofiarą kradzieży tożsamości, wyłudzeń lub nadużyć. Z perspektywy RODO to naruszenie o szczególnie wysokim ryzyku, dlatego McDonald’s miał obowiązek nie tylko zgłosić je do urzędu, ale także indywidualnie poinformować wszystkich poszkodowanych. Tymczasem firma ograniczyła się do publikacji komunikatów prasowych i wpisów na stronie internetowej. Dla UODO to za mało: osoby, których dane zostały naruszone, powinny być powiadomione wprost – tak, by mogły podjąć środki ostrożności. Brak indywidualnych powiadomień stał się jednym z głównych powodów nałożenia kary.
Kto ponosi odpowiedzialność? Rola McDonald’s i agencji PR 24/7 Communication
Choć technicznie za wyciek danych odpowiadała agencja PR 24/7 Communication, to zgodnie z przepisami RODO pełna odpowiedzialność spoczywa na administratorze danych – w tym przypadku McDonald’s Polska. Firma zleciła agencji utrzymanie systemu do planowania grafików pracowniczych, nie weryfikując jednak dostatecznie jej procedur bezpieczeństwa, nie przeprowadzając analizy ryzyka ani nie podpisując formalnej umowy z podmiotem podwykonawczym, który fizycznie zarządzał serwerem. UODO uznał to za poważne zaniedbanie, które świadczy o braku właściwego nadzoru nad przetwarzaniem danych osobowych.
W decyzji Prezesa UODO podkreślono, że McDonald’s miał pełną świadomość, jak duże wolumeny danych powierza zewnętrznemu procesorowi i powinien zadbać o odpowiednie zabezpieczenia techniczne i organizacyjne. Brak panelu administracyjnego, brak szyfrowania plików, publiczny dostęp do katalogu na serwerze – to rażące przykłady naruszenia tzw. zasady rozliczalności. Co więcej, gdy incydent wyszedł na jaw, firma przez wiele tygodni nie potrafiła zidentyfikować pełnej skali naruszenia ani wdrożyć skutecznych środków zaradczych. To tylko pogłębiło zarzuty wobec niej i stało się podstawą do wymierzenia rekordowej kary.
Z kolei 24/7 Communication – jako bezpośredni procesor danych – również nie uniknął odpowiedzialności. UODO nałożył na agencję grzywnę w wysokości 183 858 zł za brak wdrożenia środków ochrony i niewystarczający poziom kontroli nad przetwarzanymi danymi. W ocenie urzędu, zarówno administrator, jak i procesor złamali podstawowe zasady przetwarzania informacji osobowych, czym narazili tysiące osób na poważne ryzyko.
Największa kara w historii UODO? Skala finansowa i uzasadnienie decyzji
Kara w wysokości 16 932 657 zł, nałożona na McDonald’s Polska, jest jedną z najwyższych w historii decyzji Urzędu Ochrony Danych Osobowych w Polsce. Prezes UODO, Mirosław Wróblewski, wprost wskazał na „rażące naruszenia przepisów RODO”, które uzasadniają tak wysoką sankcję. W uzasadnieniu decyzji podkreślono, że McDonald’s, jako globalna korporacja o ugruntowanej pozycji rynkowej, posiada zasoby i know-how niezbędne do wdrażania bezpiecznych rozwiązań z zakresu ochrony danych. Tymczasem zignorował obowiązek dokładnego nadzoru nad podmiotem zewnętrznym i nie podjął skutecznych działań naprawczych po wykryciu incydentu.
Szczególnie istotne dla wymiaru kary okazało się to, że firma nie poinformowała indywidualnie pracowników o tym, że ich dane wyciekły. Ograniczenie się do komunikatu na stronie internetowej zostało uznane za niewystarczające. W ocenie UODO, osoby, których prywatne dane – w tym PESEL czy numery paszportów – trafiły do sieci, miały prawo zostać poinformowane w sposób bezpośredni, tak by mogły podjąć środki zaradcze (np. zastrzec dokumenty). Ten brak reakcji podważał zaufanie do firmy i naruszał art. 34 RODO, mówiący o konieczności powiadomienia osób fizycznych o naruszeniu bezpieczeństwa ich danych.
Kara została również wymierzona z uwzględnieniem długości trwania naruszenia, skali incydentu (obejmującego tysiące osób) oraz braku wcześniejszych poważnych naruszeń, co mogło łagodzić jej wymiar, ale – jak zaznaczono – nie usprawiedliwiało podstawowego braku staranności. Dodatkowe 183 858 zł grzywny dla agencji 24/7 Communication miało podkreślić, że odpowiedzialność w takich przypadkach zawsze jest dzielona, zarówno przez administratora danych, jak i ich procesora.
Jak zareagował McDonald’s? Oświadczenie firmy i działania naprawcze
McDonald’s Polska szybko opublikował oficjalne oświadczenie, w którym wyraził ubolewanie z powodu zaistniałego incydentu. Firma potwierdziła, że naruszenie dotyczyło danych pracowników oraz franczyzobiorców, jednak podkreśliła, że wyciek nie objął danych gości restauracji ani użytkowników aplikacji mobilnej. W komunikacie zaznaczono, że incydent miał miejsce w 2020 roku i od tego czasu podjęto szereg działań, które miały na celu zapobieżenie podobnym sytuacjom w przyszłości.
Według firmy, natychmiast po wykryciu naruszenia zakończono współpracę z narzędziem do planowania grafików, które odpowiadało za wyciek. McDonald’s wdrożył wewnętrzne audyty systemów IT, przegląd procedur zarządzania danymi osobowymi oraz dodatkowe szkolenia dla pracowników odpowiedzialnych za bezpieczeństwo danych. Jak podkreślono, firma współpracowała z UODO przez cały czas postępowania, udostępniając niezbędne informacje i dokumenty.
Pomimo tej reakcji UODO ocenił, że działania naprawcze zostały wdrożone zbyt późno, a sama firma nie zachowała należytej staranności na etapie powierzania danych oraz przy późniejszym informowaniu osób poszkodowanych. Co istotne, McDonald’s wciąż ma możliwość odwołania się od decyzji administracyjnej – nie wiadomo jednak, czy z niej skorzysta. Na ten moment firma skupia się na odbudowie zaufania i minimalizowaniu strat wizerunkowych, jakie wywołała cała sytuacja.
Analiza błędów McDonald’s, które kosztowały 17 mln zł
Wielu administratorów danych wciąż błędnie zakłada, że powierzenie przetwarzania danych osobowych zewnętrznej firmie automatycznie przenosi na nią odpowiedzialność. Sprawa McDonald’s pokazuje, że jest dokładnie odwrotnie: brak weryfikacji partnera, brak nadzoru i formalnych procedur może skończyć się dotkliwą karą finansową. UODO nie pozostawił wątpliwości: McDonald’s jako administrator złamał szereg zasad wynikających z RODO. Oto najważniejsze błędy, które doprowadziły do wycieku danych i kosztownego finału postępowania administracyjnego.
Brak podmiotu przetwarzającego i analizy ryzyka
McDonald’s Polska powierzył firmie 24/7 Communication dane osobowe pracowników w module grafikowym, opierając się wyłącznie na wcześniejszej współpracy PR, bez rzetelnej weryfikacji jej kompetencji w zakresie ochrony danych. Nie przeprowadzono oceny ryzyka, co stanowi naruszenie art. 28 ust. 1 i art. 24 RODO.
Brak realnego nadzoru – żadnego panelu administracyjnego
Administrator danych, mimo że miał prawo, nigdy nie zażądał dostępu administracyjnego do systemu grafikowanego. Wszystkie uprawnienia techniczne miała wyłącznie firma 24/7 Communication, co uniemożliwiło skuteczną kontrolę i realizację zapisów umowy powierzenia.
Naruszenie zasady minimalizacji danych
System wykazywał najwyższy stopień ingerencji w prywatność — zamiast używać wewnętrznych identyfikatorów, aplikacja przechowywała numery PESEL i paszportów. Tę nadmiarowość danych można było zastąpić prostym, bezpieczniejszym rozwiązaniem. Dopiero po incydencie wprowadzono identyfikatory wewnętrzne.
Brak umowy „podpowierzenia” i pominięcie Inspektora Ochrony Danych (IOD)
24/7 Communication powierzyła operacje dalszemu podmiotowi, nie zawierając umowy zgodnej z art. 28 ust. 4 i 9 RODO. Jednocześnie IOD w McDonald’s nie został zaangażowany w proces decyzyjny – co było kolejnym znakiem zaniedbania.
Wspólna odpowiedzialność – McDonald’s jako administrator także danych franczyzobiorców
UODO uznał McDonald’s za administratora nie tylko danych własnych pracowników, ale również pracowników franczyzobiorców: jako twórca i właściciel systemu, sieć decydowała o jego funkcjonalności i zakresie przetwarzania danych osobowych.
Czy wiesz, że 8 na 10 firm upada z powodu problemów z płynnością finansową?
Sprawdź, z jakiego bezpiecznego narzędzia skorzystać, aby utrzymać zdrowy cash flow i uchronić firmę przed zatorami płatniczymi.
McDonald’s zapłacił miliony. Czego mogą nauczyć się z tej historii inne firmy?
Sprawa McDonald’s Polska powinna być dla każdego przedsiębiorcy jednoznacznym sygnałem ostrzegawczym: odpowiedzialność za dane osobowe nie kończy się w momencie podpisania umowy powierzenia. Przepisy RODO jasno wskazują, że administrator danych, nawet jeśli korzysta z usług zewnętrznego procesora, nadal odpowiada za całość procesu przetwarzania, a w razie naruszenia nie może zasłaniać się niewiedzą lub brakiem technicznego dostępu.
Kluczową lekcją płynącą z tej historii jest konieczność aktywnej kontroli partnerów zewnętrznych – zarówno przed rozpoczęciem współpracy, jak i na każdym jej etapie. Oznacza to obowiązek przeprowadzenia analizy ryzyka, wdrażania audytów bezpieczeństwa oraz weryfikowania, czy partner rzeczywiście realizuje zadania zgodnie z wymaganiami prawa.
Równie istotna jest zasada minimalizacji danych. Przetwarzanie wrażliwych informacji, takich jak PESEL czy paszport, bez wyraźnej potrzeby i bez odpowiednich zabezpieczeń, znacznie zwiększa skalę potencjalnych naruszeń i tym samym – zakres odpowiedzialności. W wielu przypadkach wystarczy stosować wewnętrzne identyfikatory, pseudonimizację lub ograniczyć zakres danych do niezbędnego minimum. Dodatkowo, administratorzy nie mogą pomijać roli Inspektora Ochrony Danych (IOD). To właśnie IOD, jeśli zostanie zaangażowany odpowiednio wcześnie, może zapobiec błędom proceduralnym i wskazać, czy wybrane rozwiązanie technologiczne lub organizacyjne spełnia wymogi RODO.
Nie bez znaczenia pozostaje także nadzór nad tzw. podpowierzeniami, czyli sytuacjami, w których procesor przekazuje dane dalej kolejnym podmiotom. Każda taka relacja musi być nie tylko uzgodniona, ale także formalnie udokumentowana umową. Brak takiego dokumentu, jak pokazuje przypadek McDonald’s i agencji 24/7 Communication, może prowadzić do nałożenia kar na obie strony i długotrwałego postępowania wyjaśniającego. Podsumowując: outsourcing to nie sposób na zdjęcie odpowiedzialności, ale obowiązek świadomego, dokumentowanego i kontrolowanego zarządzania ryzykiem.
Co dalej? Możliwe skutki i odwołania
Choć decyzja UODO jest już opublikowana, nie jest jeszcze prawomocna. Zarówno McDonald’s Polska, jak i agencja 24/7 Communication mają prawo odwołać się od kary do Wojewódzkiego Sądu Administracyjnego, a później – jeśli zajdzie taka potrzeba – również do Naczelnego Sądu Administracyjnego. Można się spodziewać, że firmy skorzystają z tej możliwości, próbując podważyć wysokość grzywny lub wskazać na okoliczności łagodzące. Ewentualne orzeczenia sądów administracyjnych w tej sprawie mogą stać się precedensem dla całej branży – nie tylko gastronomicznej, ale i wszystkich podmiotów, które powierzają przetwarzanie danych zewnętrznym firmom bez należytego nadzoru.
W szerszej perspektywie sprawa McDonald’s może zachęcić UODO do baczniejszego przyglądania się korporacjom działającym w Polsce, zwłaszcza tym, które działają na zasadach franczyzy i operują złożonymi systemami obsługującymi dane tysięcy pracowników i klientów. Jeśli ten przypadek stanie się punktem odniesienia dla kolejnych decyzji, wiele firm może znaleźć się pod presją dostosowania swoich praktyk do wyższych standardów zgodności z RODO – zanim będzie za późno.
Kosztowna katastrofa
Sprawa McDonald’s Polska to podręcznikowy przykład tego, jak brak odpowiedzialności, nadzoru i procedur może prowadzić do kosztownej katastrofy wizerunkowej i finansowej. Mimo że dane wyciekły za pośrednictwem partnera zewnętrznego, UODO nie miał wątpliwości, kto faktycznie odpowiadał za ochronę informacji, czyli administrator danych. Kara blisko 17 mln zł nie jest więc tylko reakcją na incydent sprzed lat, ale jasnym komunikatem: outsourcing nie jest tarczą ochronną, a jedynie narzędziem, które również wymaga kontroli i zgodności z prawem.
Pozostaje pytanie, czy inne polskie firmy, zwłaszcza korzystające z rozbudowanych usług IT, agencji PR, firm rekrutacyjnych czy zewnętrznych platform HR, wyciągną z tej historii odpowiednie wnioski. W świecie, gdzie dane to waluta, zaniedbania w ich ochronie mogą kosztować więcej niż jakakolwiek kampania marketingowa czy kryzys PR. RODO nie jest tylko obowiązkiem prawnym – to dziś realny element ryzyka biznesowego, który musi być zarządzany na poziomie zarządu, a nie tylko działu IT.
Zainteresował Cię ten artykuł? Czytaj więcej takich treści w ramach cyklu „Biznes pod lupą”
