Olayın Arka Planı

McDonald’s Polska, çalışanlarının vardiya planlarını yönetmek amacıyla dış kaynak hizmeti alıyordu. Ancak, yapılan bu görevlendirme, ne teknik güvenlik önlemleriyle desteklendi ne de etkili bir denetim süreciyle kontrol edildi. Sonuç: Çalışanlara ait hassas bilgiler (pasaport numarası, vardiya saatleri vs.) herkese açık bir dizinde ifşa oldu.

Uyarı ve cezalar yalnızca McDonald’s’a değil; hizmet sağlayıcı olan 24/7 Communication şirketine de kesildi. Polonya Veri Koruma Otoritesi (UODO), bu olayda hem veri sorumlusunu hem de veri işleyeni açıkça sorumlu tuttu.

Temel Bulgular

Toplam ceza:

- McDonald’s Polska: PLN 16.9 milyon

- 24/7 Communication: PLN 183 bin

İhlalin ana nedenleri:

- Risk analizinin yapılmaması

- Yanlış yapılandırılmış sunucular nedeniyle verilerin herkese açık hâle gelmesi

- Alt işleyiciyle yasal sözleşme yapılmaması

- Veri Koruma Görevlisi (DPO)’nun sürece dâhil edilmemesi

- DPO’nun değerlendirme, seçici denetim ve kontrol süreçlerinden dışlanması

Veri işleme kapsamı aşılmıştı: Vardiya planı için yalnızca........

© Hukuki Haber