Kara dla Toyota Bank za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji

Prezes UODO, Mirosław Wróblewski stwierdził, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor danych osobowych nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.

Postępowanie było wynikiem kontroli przeprowadzonej przez UODO w Toyota Bank Polska S.A. i dotyczącej m.in. właśnie profilowania danych klientów i potencjalnych klientów.

Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.

Okazało się też, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych.

Bank, w toku postępowania, zapewniał Prezesa UODO, że inspektor ochrony danych w zakresie swoich obowiązków inspektora był całkowicie niezależny, a jego usytuowanie w departamencie bezpieczeństwa „ma jedynie wymiar administracyjny (np. akceptacja urlopów oraz ustalenie warunków finansowych)”. Jeśli zaś chodzi o wykaz czynności, w ramach których dochodzi do przetwarzania danych, to jeszcze przed kontrolą UODO bank zaczął ten wykaz aktualizować i ostatecznie objął nim także profilowanie.

Prezes UODO wskazał jednak w decyzji, że w momencie kontroli bank naruszał przepisy o ochronie danych osobowych i prawo wymaga, by wyciągnąć z tego konsekwencje. Czynność profilowania jest istotna, chociażby ze względu na jej dużą skalę.  Dlatego zakres, kontekst i cele profilowania, powinny być wyraźnie objęte oceną skutków przetwarzania dla ochrony danych.

Wyliczając wysokość kary PUODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych. W jego ocenie zastosowane administracyjne kary pieniężne w łącznej kwocie 576 220 zł spełniają w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w RODO (art. 83 ust. 1), tzn. będą w tym przypadku skuteczne, proporcjonalne i odstraszające.

Szczegóły sprawy i argumentacji Prezesa UODO znajdują się w załączonej decyzji o sygnaturze DKN.5112.14.2022