Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/3

Kraj:

Polska

Data wydania decyzji:

18.12.2024 r.

Podmiot kontrolowany:

Toyota Bank Polska S.A.

Wysokość kary (EUR):

132.000

Podstawa prawna naruszenia

Art. 38 ust. 3, art. 30 ust. 1, art. 35 ust. 1 i ust. 7 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie wynikło z braku zapewnienia przez Toyota Bank Polska S.A. (Toyota Bank), aby Inspektor Ochrony Danych IOD podlegał bezpośrednio najwyższemu kierownictwu, zgodnie z wymaganiami art. 38 ust. 3 RODO. Dodatkowo, stwierdzono uchybienia w zakresie prowadzenia rejestru czynności przetwarzania danych oraz braku odpowiedniej oceny skutków przetwarzania dla ochrony danych osobowych w odniesieniu do profilowania.

 

Opis wydarzeń

  1. Naruszenie struktury organizacyjnej IOD: Podczas kontroli Prezesa Urzędu Ochrony Danych Osobowych (UODO) stwierdzono, że Inspektor Ochrony Danych (IOD) w Toyota Bank formalnie podlegał Dyrektorowi Departamentu odpowiedzialnego za kwestie bezpieczeństwa informacji, co naruszało wymagania art. 38 ust. 3 RODO. W dokumentacji organizacyjnej i umowach o pracę ujawniono, że IOD raportował bezpośrednio do Dyrektora Departamentu, co ograniczało jego niezależność. Jednocześnie osoba pełniąca funkcję IOD miała także obowiązki wynikające z zatrudnienia na stanowisku specjalisty ds. bezpieczeństwa, co powodowało konflikt interesów. Dodatkowo, na zastępcę IOD powołano przełożonego samego inspektora, co jeszcze bardziej podważało niezależność tej funkcji.

  2. Braki w rejestrze czynności przetwarzania: Rejestr czynności przetwarzania prowadzony przez Toyota Bank nie zawierał osobno opisanych procesów związanych z profilowaniem danych osobowych, pomimo że działania te były integralnym elementem oceny zdolności kredytowej klientów. Zamiast tego, rejestr skupiał się na opisie produktów finansowych, co uniemożliwiało jasne zidentyfikowanie i analizę ryzyk związanych z konkretnymi operacjami przetwarzania danych. Podczas kontroli Toyota Bank wyjaśniło, że profilowanie traktowane było jako element procesu kredytowego, co jednak nie spełniało wymogów przejrzystości i szczegółowości wymaganych przez art. 30 ust. 1 RODO.

  3. Braki w ocenie skutków dla ochrony danych: Stwierdzono, że ocena skutków dla ochrony danych, dotycząca przetwarzania danych w procesach kredytowych, nie uwzględniała w sposób wyraźny profilowania jako specyficznego etapu przetwarzania. Profilowanie, rozumiane jako zautomatyzowana analiza danych klientów w celu oceny ich zdolności kredytowej, było stosowane na szeroką skalę, ale nie zostało osobno uwzględnione w analizie ryzyka. W konsekwencji, dokumentacja nie wskazywała wprost ryzyk związanych z profilowaniem, takich jak możliwość błędnej oceny zdolności kredytowej, potencjalna dyskryminacja czy brak przejrzystości dla osób, których dane dotyczą. Wyjaśnienia przedstawione przez Toyota Bank wskazywały, że uwzględnienie profilowania miało charakter ogólny i było częścią oceny skutków związanej z usługami kredytowymi, co nie spełniało standardów wymaganych przez art. 35 RODO.

  4. Działania podjęte przez Toyota Bank: W trakcie postępowania Toyota Bank podjęło działania naprawcze, takie jak zmiana regulaminu organizacyjnego i struktury organizacyjnej, aby zapewnić, że IOD będzie podlegał bezpośrednio członkowi zarządu. Dostosowano również treść rejestru czynności przetwarzania, uwzględniając w nim procesy profilowania, a także przeprowadzono uzupełniającą ocenę skutków dla ochrony danych. Mimo tych działań, naruszenia zostały uznane za istotne i skutkowały nałożeniem kar.

  5. Sankcje: W wyniku przeprowadzonego postępowania administracyjnego Prezes UODO nałożył na Toyota Bank dwie administracyjne kary pieniężne:

    • 261 918 zł za naruszenie art. 38 ust. 3 RODO, w szczególności za brak zapewnienia niezależności IOD,

    • 314 302 zł za naruszenia art. 30 ust. 1 oraz art. 35 ust. 1 i 7 RODO, związane z brakami w rejestrze czynności przetwarzania oraz w ocenie skutków dla ochrony danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie niezależności IOD: Struktura organizacyjna powinna gwarantować, że IOD podlega bezpośrednio najwyższemu kierownictwu, bez pośrednictwa innych struktur lub osób, które mogłyby wpływać na jego działania.
  2. Uzupełnienie rejestru czynności przetwarzania: Należy wyraźnie uwzględnić profilowanie jako osobną czynność przetwarzania danych, ze szczegółowym opisem procesów i celów.
  3. Przeprowadzenie pełnej oceny skutków przetwarzania: Analiza ryzyka powinna obejmować profilowanie, wskazując potencjalne zagrożenia i środki zaradcze, zgodnie z wymogami art. 35 RODO.
  4. Edukacja pracowników: Zwiększenie świadomości w zakresie obowiązków wynikających z RODO, w szczególności dotyczących niezależności IOD i transparentności przetwarzania danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO