skip to Main Content

GDPR apró: Vizsgálat a McDonald’s-nál és egy bírság

McDonald’s

A Lengyel Adatvédelmi Hatóság (UODO) szeptember 7-én kiadott közleménye szerint vizsgálatot kezdeményezett a McDonald’s étteremlánc lengyelországi leánya ellen egy bejelentett adatvédelmi incidens miatt.

A Hatóság vizsgálata jelenleg is folyamatban van, az előzetes információk alapján az történt, hogy a munkavállalók személyes adatai megtekinthetőek voltak a munkaidő-beosztást kezelő rendszerben. Az UODO elnöke megkérte a céget, hogy szolgáltasson információt az általa használt technikai és szervezeti intézkedésekről, melyeket az alkalmazottak személyes adatainak védelmében alkalmaz. Továbbá magyarázatot kér rá, hogy pontosan milyen körülmények között vált a munkavállalók személyes adatait tartalmazó adatbázis elérhetővé egy minden által hozzáférhető belső felületen. További intézkedéseket a Hatóság a vizsgálat befejezését követően hoz.

Varsói Élettudományi Egyetem

A Hatóság 2020. szeptember 8-án jelentette be végső döntését a Varsói Élettudományi Egyetemen történt adatvédelmi incidenssel kapcsolatban. Az ügy 2019 novembere óta volt folyamatban; az Egyetem egy alkalmazottja jelentette személyes laptopjának ellopását, melyről később kiderült, hogy azt üzleti célra is használta, többek között az Egyetemre felvételizett hallgatók személyes adatainak kezelésére. Az UODO az incidens miatt akkor hivatalból vizsgálatot indított.

Végső döntésében a Hatóság 11.000 euró közigazgatási bírsággal sújtotta az Egyetemet, melyben szerepet játszott az incidens súlyossága, hiszen az UODO első alkalommal csak figyelmeztetni szokta az oktatási intézményeket. Ebben az esetben azonban az Egyetemre jelentkezett hallgatók adatainak kezelése közel 5 évig folyt a fent írt módon, az érintettek száma így akár a 100.000-t is elérhette. További súlyosbító körülmény volt, hogy az Egyetem, mint adatkezelő nem tudott róla, hogy a hallgatók személyes adatai egy alkalmazott személyes laptopján kerültek kezelésre, mivel nem bizonyosodott meg róla, hogy a kérdéses adatok a nekik megfelelő információs rendszerben kerülnek feldolgozásra.

Szintén érdemes megjegyezni, hogy olyan voltak olyan, 5 éve az eszközön tárolt adatok, melyek kezelési ideje 3 hónap lett volna; a Hatóság ezért kimondta a GDPR adattakarékossági elvének megsértését. Hozzátette továbbá, hogy az intézmény nem rendelkezett megfelelő technikai és szervezeti intézkedésekkel a hallgatói adatok biztonságának szavatolására. Az Egyetem által kinevezett DPO nem volt bevonva az egyetemi felvételivel kapcsolatos adatok kezelésébe, pedig közreműködésével megakadályozható lett volna az incidens.

Az UODO enyhítő körülményként vette figyelembe, hogy az Egyetem a vizsgálat során folyamatosan együttműködött a Hatósággal, azonnali intézkedéseket tett a gyakorlat megszüntetésére és új eljárásokat vezetett be, hogy a hasonló esetek a jövőben megelőzhetők legyenek.

Back To Top