De Poolse privacytoezichthouder UODO heeft McDonald's Polen wegens een datalek een boete van omgerekend 3,9 miljoen euro opgelegd. Het is één van de hoogste AVG-boetes die in het land is uitgedeeld. De fastfoodketen lekte allerlei persoonlijke informatie van medewerkers, waaronder namen, de Poolse tegenhanger van het BSN-nummer en paspoortnummers. De informatie was voor iedereen op internet toegankelijk. De toezichthouder stelt dat McDonald's Polen op meerdere punten de AVG heeft overtreden. Van hoeveel mensen de gegevens zijn gelekt laat de UODO niet weten.

McDonald's Polska deelde de gegevens van medewerkers met een extern bedrijf dat het roostersysteem beheerde. Volgens de UODO ontbraken in de overeenkomst tussen McDonald's en de leverancier afspraken over toezicht, zoals audits of inspecties, en waren er geen passende technische en organisatorische maatregelen getroffen om de persoonsgegevens van medewerkers te beschermen. Een misconfiguratie van een server zorgde ervoor dat de gegevens via een publiek toegankelijke directory voor iedereen op internet toegankelijk waren. Het ging om namen, de Poolse tegenhanger van het BSN-nummers, paspoortnummers wanneer het BSN ontbrak en allerlei werk- en functiegerelateerde gegevens.

Zowel McDonald's als de leverancier van het roostersysteem hadden geen risicoanalyse uitgevoerd. Daarnaast bleek dat beide partijen bij privacygerelateerde zaken hun Functionaris Gegevensbescherming niet hadden betrokken. De UODO stelt ook dat het systeem geen gebruik had moeten maken van paspoortnummers of BSN-nummers als identifier van medewerkers, omdat dit in strijd is met het principe van dataminimalisatie. Pas na het datalek werd besloten medewerkers van een apart identificatienummer te voorzien.

Daarnaast hekelt de UODO de wijze waarop voormalige medewerkers over het datalek werden ingelicht. Dit gebeurde namelijk door middel van twee persberichten. Deze methode is geen directe notificatie van een datalek, zoals de AVG verplicht, merkt de toezichthouder op. Verder bleek dat de leverancier voor gegevensverwerking de diensten van een andere partij gebruikte, zonder dat hiervoor een contract was opgesteld zoals wettelijk is verplicht.

De Poolse toezichthouder benadrukt dat McDonald's Polen, ook al had het de gegevensverwerking aan de leverancier uitbesteed, verantwoordelijk blijft voor de veiligheid van de data. Volgens de UODO heeft McDonald's meerdere artikelen van de AVG overtreden en is gezien de overtredingen een boete van omgerekend 3,9 miljoen euro passend. De leverancier van het roostersysteem kreeg een boete van omgerekend 43,000 euro opgelegd.