Jak informuje UODO, postępowanie było wynikiem kontroli przeprowadzonej w Toyota Bank Polska S.A. i dotyczącej m.in. właśnie profilowania danych klientów i potencjalnych klientów.

Bank profiluje dane klientów

- Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej – podaje urząd w komunikacie.

Z decyzji wynika, że bank przetwarzał ponadto wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania w związku z tym kategorii ryzyka. - To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych – podaje UODO.

Regulator przyznaje, że jeszcze przed kontrolą bank zaczął aktualizować rejestr czynności i ostatecznie objął nim także profilowanie.

Czytaj także: Pan Michał wysłał faktury księgowym, jego dane dostali marketingowcy

Inspektor ochrony danych musi być niezależny

Inna nieprawidłowość dotyczyła usytuowania służbowego inspektora ochrony danych, który nie podlegał bezpośrednio zarządowi banku. Pracował natomiast na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Zarządzanie procesami przetwarzania danych mieściło się tymczasem w obowiązkach tego właśnie dyrektora.

- Bank, w toku postępowania, zapewniał prezesa UODO, że inspektor ochrony danych w zakresie swoich obowiązków inspektora był całkowicie niezależny, a jego usytuowanie w departamencie bezpieczeństwa „ma jedynie wymiar administracyjny (np. akceptacja urlopów oraz ustalenie warunków finansowych)” - informuje urząd.  

Kara od prezesa UODO

Prezes UODO wskazał w decyzji, że w momencie kontroli bank naruszał przepisy o ochronie danych osobowych, musi więc ponieść konsekwencje. Uznał, że czynność profilowania jest istotna, chociażby ze względu na jej dużą skalę. Za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł, zaś za niewłaściwą pozycję inspektora – karę 261 918 zł. Łączna kara 576 220 zł w ocenie prezesa UODO spełnia funkcje, o których mowa w RODO (art. 83 ust. 1), tzn. będzie skuteczna, proporcjonalna i odstraszająca. Jej wysokość została wyliczona według metodyki Europejskiej Radę Ochrony Danych.

Ze szczegółową argumentacją prezesa UODO można zapoznać się w decyzji o sygnaturze DKN.5112.14.2022