Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Toyota Bank ukarany przez UODO za naruszenia związane z ochroną danych osobowych

20-01-2025, 17:00

Toyota Bank Polska S.A. został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych za poważne naruszenia związane z ochroną danych osobowych klientów. Podstawą nałożenia kar były nieprawidłowości w zakresie niezależności Inspektora Ochrony Danych oraz dokumentacji dotyczącej profilowania. Co dokładnie zarzuca się bankowi i jakie wnioski płyną z tej sprawy dla innych instytucji finansowych?

konto firmowe

reklama


Kluczowe naruszenia wykryte podczas kontroli

W toku kontroli przeprowadzonej przez UODO w Toyota Bank Polska S.A. ujawniono dwa istotne naruszenia przepisów o ochronie danych osobowych.

  • Pierwsze dotyczyło niewłaściwego umiejscowienia Inspektora Ochrony Danych (IOD) w strukturze organizacyjnej banku, za co nałożono karę w wysokości 261 918 zł.
  • Drugie naruszenie, skutkujące karą 314 302 zł, wiązało się z pominięciem profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych.

Bank prowadził szeroką działalność w zakresie profilowania danych klientów, wykorzystując je do określania zdolności kredytowej oraz przeprowadzania scoringu.

  • Proces ten obejmował ocenę punktową ryzyka kredytowego i przypisywanie kategorii ryzyka.

Mimo tak istotnego zakresu przetwarzania danych, bank nie uwzględnił tych czynności w wymaganej dokumentacji.

Toyota Bank ukarany przez UODO za naruszenia związane z ochroną danych osobowych

Problem niezależności Inspektora Ochrony Danych

Szczególną uwagę UODO zwrócił na kwestię podporządkowania IOD. Inspektor pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa, podlegając bezpośrednio dyrektorowi departamentu bezpieczeństwa, a nie najwyższemu kierownictwu banku.

  • Co istotne, dyrektor tego departamentu odpowiadał również za zarządzanie procesami przetwarzania danych, co mogło prowadzić do konfliktu interesów.

Choć bank argumentował, że podporządkowanie IOD miało jedynie wymiar administracyjny, Prezes UODO uznał, że takie rozwiązanie nie zapewnia wymaganej przepisami niezależności Inspektora w wykonywaniu jego obowiązków.

Znaczenie decyzji dla sektora bankowego

Decyzja Prezesa UODO ma istotne znaczenie dla całego sektora finansowego. Wysokość nałożonych kar - łącznie 576 220 zł - została określona zgodnie z metodyką przyjętą przez Europejską Radę Ochrony Danych. Kary mają spełniać funkcję nie tylko represyjną, ale przede wszystkim prewencyjną i edukacyjną.

Dla innych instytucji finansowych sprawa ta stanowi jasny sygnał, że:

  • Inspektor Ochrony Danych musi mieć zagwarantowaną rzeczywistą niezależność poprzez odpowiednie umiejscowienie w strukturze organizacyjnej.
  • Profilowanie danych klientów wymaga szczegółowego dokumentowania i oceny skutków dla ochrony danych osobowych.
  • Rejestr czynności przetwarzania musi być kompletny i aktualny, uwzględniający wszystkie istotne operacje na danych osobowych.

Wdrożenie prawidłowych rozwiązań w zakresie ochrony danych osobowych nie tylko chroni przed potencjalnymi karami finansowymi, ale przede wszystkim buduje zaufanie klientów i wzmacnia pozycję instytucji na rynku finansowym.

Zobacz oficjalną decyzję DKN.5112.14.2022 wydaną przez Prezesa UODO


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły: