Kara dla Toyota Bank za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji

Prezes UODO, Mirosław Wróblewski stwierdził, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor danych osobowych nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.

Postępowanie było wynikiem kontroli przeprowadzonej przez UODO w Toyota Bank Polska S.A. i dotyczącej m.in. właśnie profilowania danych klientów i potencjalnych klientów.

Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.

Okazało się też, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych.

Żródło - https://uodo.gov.pl/pl/138/3519