Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Toyota Bank Polska S.A. administracyjne kary pieniężne w wysokości 576 220 zł. Powodem były naruszenia przepisów RODO dotyczące m.in. profilowania danych osobowych klientów oraz niewystarczającej niezależności inspektora ochrony danych (IOD).
Naruszenie niezależności inspektora ochrony danych
Jednym z zarzutów postawionych bankowi była sytuacja, w której inspektor ochrony danych osobowych nie miał pełnej niezależności w swojej pracy. Ustalono, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu banku, lecz pracował na stanowisku w departamencie bezpieczeństwa, raportując bezpośrednio dyrektorowi tego departamentu. Dyrektor zarządzał jednocześnie procesami przetwarzania danych, co mogło prowadzić do konfliktu interesów.
Bank tłumaczył, że podległość inspektora miała jedynie charakter administracyjny, obejmujący m.in. akceptację urlopów i ustalenie warunków finansowych. Prezes UODO uznał jednak, że takie usytuowanie narusza przepisy RODO, które wymagają pełnej niezależności IOD w realizacji jego obowiązków. Za to naruszenie bank ukarano kwotą 261 918 zł.
Braki w dokumentacji dotyczącej profilowania danych
Drugie poważne uchybienie dotyczyło braku uwzględnienia czynności profilowania w rejestrze przetwarzania danych oraz w ocenie skutków dla ochrony danych (DPIA). Bank profilował dane klientów w celu określania zdolności kredytowej, m.in. poprzez ocenę punktową ryzyka kredytowego (scoring) i przypisywanie kategorii ryzyka. Pomimo dużej skali tego procesu, nie został on odpowiednio udokumentowany ani poddany analizie pod kątem potencjalnego ryzyka dla ochrony danych osobowych.
Toyota Bank Polska argumentował, że przed kontrolą UODO rozpoczął aktualizację rejestru przetwarzania danych, włączając do niego profilowanie. Prezes UODO uznał jednak, że w momencie kontroli naruszenie przepisów było ewidentne, a jego konsekwencje wymagały zastosowania kary. Za to naruszenie bank ukarano kwotą 314 302 zł.
Znaczenie profilowania w ochronie danych
Prezes UODO podkreślił, że proces profilowania danych osobowych ma istotne znaczenie, szczególnie w kontekście jego skali i celu. Profilowanie powinno być jasno określone w dokumentacji przetwarzania danych, a także objęte szczegółową oceną skutków dla ochrony danych. Niedopełnienie tych obowiązków może prowadzić do poważnych naruszeń praw osób, których dane są przetwarzane.
Kary zgodne z metodyką Europejskiej Rady Ochrony Danych
Wyliczając wysokość kar, UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych, zgodnie z art. 83 ust. 1 RODO. Nałożone kary miały być skuteczne, proporcjonalne i odstraszające. Łączna kwota 576 220 zł ma na celu nie tylko wyciągnięcie konsekwencji wobec Toyota Bank Polska, ale także zapobieganie podobnym naruszeniom w przyszłości.