Kara dla Toyota Bank za naruszenie przepisów RODO – niewłaściwe usytuowanie IOD i pominięcie profilowania w dokumentacji.

Toyota Bank Polska S.A. została ukarana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na łączną kwotę 576.220,00 zł za naruszenie przepisów dotyczących ochrony danych osobowych. Sankcje dotyczyły dwóch głównych obszarów: niewłaściwego usytuowania Inspektora Ochrony Danych (IOD) oraz braku uwzględnienia czynności profilowania w rejestrze przetwarzania danych i ocenie skutków dla ochrony danych.

Prezes UODO, stwierdził, że IOD w Toyota Bank Polska S.A. nie był w pełni niezależny w wykonywaniu swoich obowiązków. Zgodnie z art. 38 ust. 3 RODO, administrator danych musi zapewnić, aby inspektor ochrony danych mógł wykonywać swoje zadania w sposób niezależny, a jednocześnie nie był obarczony konfliktami interesów.

Podczas kontroli ustalono, że inspektor ochrony danych podlegał dyrektorowi departamentu bezpieczeństwa, który równocześnie zarządzał procesami przetwarzania danych. Takie usytuowanie, zdaniem PUODO, uniemożliwiało niezależne wykonywanie obowiązków przez IOD, ponieważ mógł on znajdować się w sytuacji konfliktu interesów. Co więcej, inspektor pełnił także funkcje związane z IT i bezpieczeństwem, co dodatkowo podważało jego niezależność.

Bank argumentował, że relacja podległości inspektora ochrony danych w departamencie bezpieczeństwa miała wyłącznie wymiar administracyjny, np. w zakresie akceptacji urlopów. Prezes UODO uznał jednak, że takie wyjaśnienia nie są wystarczające, a usytuowanie IOD naruszało przepisy o ochronie danych osobowych.

Drugim poważnym naruszeniem było pominięcie profilowania w dokumentacji przetwarzania danych osobowych, w szczególności w:

• rejestrze czynności przetwarzania danych,
• ocenie skutków dla ochrony danych.

Toyota Bank regularnie profiluje dane swoich klientów w celu określenia ich zdolności kredytowej. Proces ten obejmuje m.in. tzw. scoring kredytowy, czyli ocenę punktową ryzyka kredytowego oraz przypisanie kategorii ryzyka. Profilowanie jest zatem kluczowym elementem działalności banku, co oznacza, że powinno zostać szczegółowo opisane w dokumentacji przetwarzania danych.

Co to oznacza dla firm:

Decyzja UODO wobec Toyota Bank Polska S.A. podkreśla, jak ważne jest prawidłowe wdrożenie przepisów RODO, szczególnie w obszarach takich jak:

1. Zapewnienie niezależności IOD – inspektor ochrony danych musi mieć pełną niezależność i nie może znajdować się w sytuacji konfliktu interesów.
2. Profilowanie danych – każda organizacja, która dokonuje profilowania, powinna jasno uwzględnić ten proces w swojej dokumentacji przetwarzania danych oraz przeprowadzić ocenę skutków przetwarzania dla ochrony danych.

‍