Prezes UODO ukarał Toyota Bank Polska kwotami ponad 314 tys. zł za profilowanie danych klientów bez uwzględnienia tego w odpowiednim rejestrze oraz prawie 262 tys. zł za nieodpowiednie usytuowanie inspektora ochrony danych osobowych - podał w poniedziałek Urząd.
W poniedziałek Urząd Ochrony Danych Osobowych poinformował o karach, nałożonych na Toyota Bank. Kary były nałożone w wyniku kontroli urzędu, dotyczącej m.in. profilowania danych obecnych i potencjalnych klientów, urząd uznał też, że inspektor danych osobowych nie był w pełni niezależny w swojej pracy.
„Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych” – napisał UODO w komunikacie.
Urząd za „pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych” nałożył na bank karę w wysokości ponad 314 tys. zł. Druga kara, nałożona przez UODO, dotyczyła faktu, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu Toyota Bank Polska. Kara w tym przypadku wyniosła prawie 262 tys. zł.
„(…) inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych” – czytamy w komunikacie UODO. (PAP)
Oświadczenie Toyota Bank Polska S.A.
Toyota Bank Polska S.A. otrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą karę administracyjną. Pragniemy podkreślić, że decyzja ta dotyczy kwestii organizacyjnych i nie wynika z naruszenia ochrony danych osobowych klientów ani ich niewłaściwego przetwarzania. Nie doszło również do żadnego incydentu związanego z kradzieżą lub nieuprawnionym ujawnieniem danych osobowych klientów Banku. Bank zamierza odwołać się od decyzji Prezesa UODO, uznając zastosowane środki za nieadekwatne do zaistniałych okoliczności. Jednocześnie zapewniamy, że Bank w pełni współpracuje z Urzędem, a przestrzeganie przepisów dotyczących ochrony danych osobowych pozostaje dla Banku priorytetem. Klienci Toyota Bank Polska S.A. mogą być pewni, że ich dane są przetwarzane z zachowaniem najwyższych standardów bezpieczeństwa i zgodnie z obowiązującymi regulacjami prawnymi. Na bieżąco udoskonalamy wewnętrzne procedury oraz systemy ochrony danych, by w pełni sprostać wysokim wymaganiom, jakie stawiają nam polskie i europejskie przepisy dotyczące ochrony danych osobowych.
ms/ malk/
