wtorek, 11 lutego, 2025

Toyota Bank Polska ukarany przez UODO – łączna kara wyniosła ponad 576 tysięcy złotych

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Toyota Bank Polska S.A. administracyjne kary pieniężne w wysokości 576 220 zł. Powodem były naruszenia przepisów RODO dotyczące m.in. profilowania danych osobowych klientów oraz niewystarczającej niezależności inspektora ochrony danych (IOD).

Naruszenie niezależności inspektora ochrony danych

Jednym z zarzutów postawionych bankowi była sytuacja, w której inspektor ochrony danych osobowych nie miał pełnej niezależności w swojej pracy. Ustalono, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu banku, lecz pracował na stanowisku w departamencie bezpieczeństwa, raportując bezpośrednio dyrektorowi tego departamentu. Dyrektor zarządzał jednocześnie procesami przetwarzania danych, co mogło prowadzić do konfliktu interesów.

Bank tłumaczył, że podległość inspektora miała jedynie charakter administracyjny, obejmujący m.in. akceptację urlopów i ustalenie warunków finansowych. Prezes UODO uznał jednak, że takie usytuowanie narusza przepisy RODO, które wymagają pełnej niezależności IOD w realizacji jego obowiązków. Za to naruszenie bank ukarano kwotą 261 918 zł.

Braki w dokumentacji dotyczącej profilowania danych

Drugie poważne uchybienie dotyczyło braku uwzględnienia czynności profilowania w rejestrze przetwarzania danych oraz w ocenie skutków dla ochrony danych (DPIA). Bank profilował dane klientów w celu określania zdolności kredytowej, m.in. poprzez ocenę punktową ryzyka kredytowego (scoring) i przypisywanie kategorii ryzyka. Pomimo dużej skali tego procesu, nie został on odpowiednio udokumentowany ani poddany analizie pod kątem potencjalnego ryzyka dla ochrony danych osobowych.

Toyota Bank Polska argumentował, że przed kontrolą UODO rozpoczął aktualizację rejestru przetwarzania danych, włączając do niego profilowanie. Prezes UODO uznał jednak, że w momencie kontroli naruszenie przepisów było ewidentne, a jego konsekwencje wymagały zastosowania kary. Za to naruszenie bank ukarano kwotą 314 302 zł.

Znaczenie profilowania w ochronie danych

Prezes UODO podkreślił, że proces profilowania danych osobowych ma istotne znaczenie, szczególnie w kontekście jego skali i celu. Profilowanie powinno być jasno określone w dokumentacji przetwarzania danych, a także objęte szczegółową oceną skutków dla ochrony danych. Niedopełnienie tych obowiązków może prowadzić do poważnych naruszeń praw osób, których dane są przetwarzane.

Kary zgodne z metodyką Europejskiej Rady Ochrony Danych

Wyliczając wysokość kar, UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych, zgodnie z art. 83 ust. 1 RODO. Nałożone kary miały być skuteczne, proporcjonalne i odstraszające. Łączna kwota 576 220 zł ma na celu nie tylko wyciągnięcie konsekwencji wobec Toyota Bank Polska, ale także zapobieganie podobnym naruszeniom w przyszłości.

Autor/źródło
Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane do konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Popularne w tym tygodniu

Kamery nasobne dla ratowników medycznych – ochrona czy zagrożenie dla prywatności?

Wprowadzenie kamer nasobnych dla zespołów ratownictwa medycznego jest jednym...

Debata nad artykułem 212 Kodeksu karnego: wolność mediów kontra ochrona dobrego imienia

Rada Polskich Mediów wystosowała apel do rządzących o całkowite...

Nielegalne przetwarzanie danych z bazy POL-on w celu analizy szczepień na uczelniach – decyzja UODO

Prezes Urzędu Ochrony Danych Osobowych (UODO) udzielił upomnień czterem...

CANAL+ rozpoczyna kontrole w pubach i restauracjach. Wysokie kary za brak licencji na transmisje sportowe

CANAL+ z początkiem roku rozpoczął kontrole w pubach i...

Rafał Brzoska na czele deregulacji? Premier Tusk ma dosyć sloganów i proponuje zmiany

Czy urzędnicy, którzy mieli zajmować się deregulacją przepisów prawa...

Podobne tematy

Nielegalne przetwarzanie danych z bazy POL-on w celu analizy szczepień na uczelniach – decyzja UODO

Prezes Urzędu Ochrony Danych Osobowych (UODO) udzielił upomnień czterem...

ORLEN odkrył nowe złoże gazu w Wielkopolsce

Niemal ćwierć miliarda metrów sześciennych gazu ziemnego wynoszą zasoby...

AFIR: Nowe wyzwania dla infrastruktury ładowania w Polsce

Zgodnie z AFIR, którego przepisy zaczęły być stosowane...

Automaty paczkowe kluczowym elementem strategii firm e-commerce

Według raportu „E-commerce w Polsce 2024”, opublikowanego przez Gemius,...

ORLEN odzyskuje zaufanie Norges Bank i znika z listy obserwacyjnej

W wyniku działań naprawczych podjętych przez obecny Zarząd, ORLEN...

Budżet państwa to iluzja? Ponad 150 instytucji działa poza ustawą budżetową

Polska „funduszowa” ma się świetnie. Z każdym kolejnym rządem...

Stéphane Séjourné z wizytą w Grupie Przemysłowej Baltic – rozmowy o przyszłości europejskiego przemysłu offshore

6 lutego 2025 roku Stéphane Séjourné, Wiceprzewodniczący Komisji Europejskiej...

Może Cię zainteresować

Polecane kategorie