
RODO->Prezes Urzędu Ochrony Danych Osobowych (PUODO) przeprowadził w Toyota Bank Polska S.A. kontrolę, która miała na celu przede wszystkim weryfikację w zakresie profilowania danych osobowych klientów i potencjalnych klientów Spółki.
Przeprowadzona inspekcja ostatecznie wykazała niezgodności w dwóch obszarach, tj.:
a) Właściwe włączanie Inspektora Ochrony Danych we wszystkie sprawy związane w Spółce z przetwarzaniem danych osobowych
– w toku kontroli wykazano, że Inspektor Ochrony Danych powołany w Spółce był pracownikiem zatrudnionym na stanowisku IT i audytora/specjalisty ds. bezpieczeństwa, a struktura organizacyjna powodowała, że ostatecznie Inspektor Ochrony Danych podlegał bezpośrednio dyrektorowi departamentu, w którym był zatrudniony. W praktyce więc Inspektor Ochrony Danych nie podlegał bezpośrednio najwyższemu kierownictwu Spółki zgodnie z wymogami wynikającymi z przepisów RODO;
b) Profilowanie
– w toku kontroli wykazano ponadto, że Spółka stosowała na szeroką skalę profilowanie danych osobowych klientów oraz potencjalnych klientów Spółki. Działanie to miało na celu określenie zdolności kredytowej klienta lub potencjalnego klienta, a na podstawie uzyskanego wyniku, tzw. scoringu dokonywano nadania podmiotom danych kategorii ryzyka określonej przez Spółkę. Jednocześnie proces związany z profilowaniem nie został ujęty w prowadzonym przez Spółkę rejestrze czynności przetwarzania danych. Spółka nie przeprowadziła również oceny skutków dla ochrony danych w zakresie prowadzonego procesu.
W związku z naruszeniem przepisów RODO, w szczególności z uwagi na naruszenia dotyczące profilowania danych osobowych, które prowadzone było na szeroką skalę Spółka została ukarana administracyjną karą pieniężną w wysokości odpowiednio:
a) 261 918 PLN – za naruszenie przepisów RODO w związku z brakiem zapewnienia odpowiedniej niezależności Inspektora Ochrony Danych;
b) 314 302 PLN – za naruszenie przepisów RODO w związku z pominięciem profilowania w rejestrze czynności przetwarzania.
Komentarz Auraco:
Przedmiotowa sprawa pokazuje jak ważne jest, by przetwarzając dane osobowe, administrator pamiętał o spełnieniu obowiązków jakie nakładają na niego przepisy RODO. W przypadkach określonych w art. 37 RODO, administrator danych zobowiązany jest powołać Inspektora Ochrony Danych. Warto w tym miejscu przypomnieć, że organizacje mogą również dobrowolnie powołać Inspektora Ochrony Danych (tj. mimo braku zaistnienia takiego obowiązku). Z kolei działalność Inspektora Ochrony Danych powołanego w organizacji musi być zgodna z wymogami określonymi w art. 38 i art. 39 RODO.
W szczególności dla zapewnienia prawidłowego funkcjonowania i możliwości realizacji obowiązków Inspektora Ochrony Danych, powinien być on nie tylko włączany we wszystkie sprawy związane z ochroną i przetwarzaniem danych osobowych przez organizację, ale również musi być niezależny, a więc powinien podlegać bezpośrednio najwyższemu kierownictwu organizacji.
Ponadto dla zapewnienia m.in. przejrzystości procesów związanych z ochroną danych osobowych w organizacji, w zakresie w jakim organizacja ta występuje w roli administratora danych, musi ona prowadzić rejestr obejmujący wszystkie czynności przetwarzania danych spełniający wymogi określone w art. 30 ust. 1 RODO. Kwestia ta jest szczególnie istotna, gdyż brak ujęcia w rejestrze wszystkich procesów związanych z przetwarzaniem danych osobowych może powodować m.in. ryzyko, że w zakresie danych osobowych przetwarzanych w ramach procesu, nie jest zapewnione odpowiednie bezpieczeństwo przetwarzanych danych, a więc nie zostanie spełniony wymóg wynikający z art. 32 RODO w zakresie zapewnienia odpowiednich środków technicznych i organizacyjnych, które odpowiadają ryzykom związanym z przetwarzaniem danych osobowych.