BLOG

Dowiedz się co jest naprawdę ważne.

RODO -> KARA DLA TOYOTA BANK POLSKA S.A. od PUODO

auraco, rodo, gdpr, kara, uodo, puodo, odo
RODO -> KARA DLA TOYOTA BANK POLSKA S.A. od PUODO

RODO->Prezes Urzędu Ochrony Danych Osobowych (PUODO) przeprowadził w Toyota Bank Polska S.A. kontrolę, która miała na celu przede wszystkim weryfikację w zakresie profilowania danych osobowych klientów i potencjalnych klientów Spółki.

Przeprowadzona inspekcja ostatecznie wykazała niezgodności w dwóch obszarach, tj.:

a) Właściwe włączanie Inspektora Ochrony Danych we wszystkie sprawy związane w Spółce z przetwarzaniem danych osobowych

– w toku kontroli wykazano, że Inspektor Ochrony Danych powołany w Spółce był pracownikiem zatrudnionym na stanowisku IT i audytora/specjalisty ds. bezpieczeństwa, a struktura organizacyjna powodowała, że ostatecznie Inspektor Ochrony Danych podlegał bezpośrednio dyrektorowi departamentu, w którym był zatrudniony. W praktyce więc Inspektor Ochrony Danych nie podlegał bezpośrednio najwyższemu kierownictwu Spółki zgodnie z wymogami wynikającymi z przepisów RODO;

b) Profilowanie

– w toku kontroli wykazano ponadto, że Spółka stosowała na szeroką skalę profilowanie danych osobowych klientów oraz potencjalnych klientów Spółki. Działanie to miało na celu określenie zdolności kredytowej klienta lub potencjalnego klienta, a na podstawie uzyskanego wyniku, tzw. scoringu dokonywano nadania podmiotom danych kategorii ryzyka określonej przez Spółkę. Jednocześnie proces związany z profilowaniem nie został ujęty w prowadzonym przez Spółkę rejestrze czynności przetwarzania danych. Spółka nie przeprowadziła również oceny skutków dla ochrony danych w zakresie prowadzonego procesu.

W związku z naruszeniem przepisów RODO, w szczególności z uwagi na naruszenia dotyczące profilowania danych osobowych, które prowadzone było na szeroką skalę Spółka została ukarana administracyjną karą pieniężną w wysokości odpowiednio:

a) 261 918 PLN – za naruszenie przepisów RODO w związku z brakiem zapewnienia odpowiedniej niezależności Inspektora Ochrony Danych;

b) 314 302 PLN – za naruszenie przepisów RODO w związku z pominięciem profilowania w rejestrze czynności przetwarzania.

Komentarz Auraco:

Przedmiotowa sprawa pokazuje jak ważne jest, by przetwarzając dane osobowe, administrator pamiętał o spełnieniu obowiązków jakie nakładają na niego przepisy RODO. W przypadkach określonych w art. 37 RODO, administrator danych zobowiązany jest powołać Inspektora Ochrony Danych. Warto w tym miejscu przypomnieć, że organizacje mogą również dobrowolnie powołać Inspektora Ochrony Danych (tj. mimo braku zaistnienia takiego obowiązku). Z kolei działalność Inspektora Ochrony Danych powołanego w organizacji musi być zgodna z wymogami określonymi w art. 38 i art. 39 RODO.

W szczególności dla zapewnienia prawidłowego funkcjonowania i możliwości realizacji obowiązków Inspektora Ochrony Danych, powinien być on nie tylko włączany we wszystkie sprawy związane z ochroną i przetwarzaniem danych osobowych przez organizację, ale również musi być niezależny, a więc powinien podlegać bezpośrednio najwyższemu kierownictwu organizacji.

Ponadto dla zapewnienia m.in. przejrzystości procesów związanych z ochroną danych osobowych w organizacji, w zakresie w jakim organizacja ta występuje w roli administratora danych, musi ona prowadzić rejestr obejmujący wszystkie czynności przetwarzania danych spełniający wymogi określone w art. 30 ust. 1 RODO. Kwestia ta jest szczególnie istotna, gdyż brak ujęcia w rejestrze wszystkich procesów związanych z przetwarzaniem danych osobowych może powodować m.in. ryzyko, że w zakresie danych osobowych przetwarzanych w ramach procesu, nie jest zapewnione odpowiednie bezpieczeństwo przetwarzanych danych, a więc nie zostanie spełniony wymóg wynikający z art. 32 RODO w zakresie zapewnienia odpowiednich środków technicznych i organizacyjnych, które odpowiadają ryzykom związanym z przetwarzaniem danych osobowych.

Źródło: decyzja PUODO sygn. DKN.5112.14.2022