Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, jeden z banków nie zapewnił warunków, w których inspektor danych osobowych nie mógł działać w pełni niezależnie. W związku z tym PUODO nałożył karę w wysokości 261 918 zł. Dodatkowo, za zaniechanie uwzględnienia profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, na bank nałożono karę w wysokości 314 302 zł.
Opracowanie: Michał Kowalski
W toku kontroli prowadzonej w Toyota Bank Polska S.A. okazało się, że inspektor ochrony danych nie był bezpośrednio podległy najwyższemu kierownictwu banku, czyli jego zarządowi, lecz pracował na stanowisku audytora IT oraz specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a później w departamencie bezpieczeństwa, gdzie podlegał bezpośrednio dyrektorowi tego departamentu. To zaś mogło prowadzić do konfliktu interesów z uwagi na jednoczesne pełnienie funkcji IOD. Jednocześnie do obowiązków tego dyrektora należało zarządzanie procesami przetwarzania danych.
Zgodnie z art. 38 ust. 6 RODO inspektor ochrony danych może wykonywać inne zadania i obowiązki, jednak administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Ustalono również, że bank jako administrator danych gromadzi i profiluje różnorodne informacje o klientach w celu oceny ich zdolności kredytowej. Ponadto, bank przetwarza wyniki tzw. scoringu, czyli punktowej oceny ryzyka kredytowego oraz przypisania odpowiedniej kategorii ryzyka, ustalonej przez instytucję. Punktowa ocena ryzyka kredytowego oraz przypisanie kategorii ryzyka stanowiłoby profilowanie danych, które powinno być, ale nie zostało uwzględnione przez bank w rejestrze czynności przetwarzania danych. Dodatkowo, w ocenie PUODO bank nie ocenił wpływu profilowania na bezpieczeństwo przetwarzania danych osobowych.
Zakres, kontekst i cele profilowania powinny być jednoznacznie uwzględnione w ramach oceny skutków dla ochrony danych (DPIA).
Obliczając wysokość nałożonej kary, PUODO zastosował metodologię przyjętą przez Europejską Radę Ochrony Danych. W jego ocenie, nałożone administracyjne kary pieniężne w łącznej kwocie 576 220 zł w kontekście niniejszej sprawy spełniają funkcje określone w przepisach RODO (art. 83 ust. 1), co oznacza, że w tym przypadku będą skuteczne, proporcjonalne i mające działanie odstraszające.
decyzja Prezesa UODO z 18 grudnia 2024 r. DKN.5112.14.2022
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
