UODO Toyota Bank Polska ma zapacic ponad 314 tys. z kary

W poniedziałek Urząd Ochrony Danych Osobowych poinformował o karach, nałożonych na Toyota Bank. Kary były nałożone w wyniku kontroli urzędu, dotyczącej m.in. profilowania danych obecnych i potencjalnych klientów, urząd uznał też, że inspektor danych osobowych nie był w pełni niezależny w swojej pracy. „Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych” – napisał UODO w komunikacie. Urząd za „pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych” nałożył na bank karę w wysokości ponad 314 tys. zł. Druga kara, nałożona przez UODO, dotyczyła faktu, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu Toyota Bank Polska. Kara w tym przypadku wyniosła prawie 262 tys. zł. „(...) inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych” – czytamy w komunikacie UODO.