Za ochronę danych osobowych są odpowiedzialni zarówno administrator, jak i podmiot przetwarzający
Prezes UODO Mirosław Wróblewski nałożył na McDonald’s Polska Sp. z o.o. kary w łącznej wysokości 16 932 657 zł (1 632 063 zł, 13 600 528 zł, 1 700 066 zł) oraz udzielił upomnienia za naruszenie szeregu przepisów o ochronie danych osobowych. W tej samej sprawie Prezes UODO nałożył też kary na 24/7 Communication Sp. z o.o. (podmiot przetwarzający) w łącznej kwocie 183 858 zł (94 286 zł, 42 429 zł, 47 143 zł). McDonald’s Polska Sp. z o.o. powierzył przetwarzanie danych osobowych pracowników sieci restauracji zewnętrznej firmie w celu zarządzania grafikami pracy. Brak analizy ryzyka tego procesu, wdrożenia odpowiednich zabezpieczeń, realizacji postanowień umowy powierzenia przetwarzania danych osobowych doprowadziły do ujawnienia danych osobowych w publicznie dostępnym katalogu.