Wojewódzki Sąd Administracyjny oddalił skargę Toyota Bank Polska SA na decyzję Prezesa UODO, potwierdzając dwie kary finansowe za brak niezależności inspektora ochrony danych oraz nieprawidłowe dokumentowanie profilowania klientów. Sprawa wyznacza nowe standardy dla praktyki ABI/DPO i administratorów danych w sektorze finansowym.
Decyzja UODO oraz jej sądowe podtrzymanie pokazują, że inspektor ochrony danych musi być podporządkowany bezpośrednio najwyższemu kierownictwu, bez jakichkolwiek zależności służbowych wobec innych członków kadry zarządzającej, zwłaszcza odpowiedzialnych za procesy przetwarzania danych.
W sprawie Toyota Banku ujawniono, że bank stosuje zaawansowane techniki profilowania w celu oceny ryzyka kredytowego klientów. Tymczasem tego typu operacje nie były wykazywane w rejestrze czynności przetwarzania danych i nie zostały uwzględnione w ocenie skutków dla ochrony danych, co stanowi naruszenie istotnych wymogów RODO.
Dla branży finansowej decyzja ta oznacza konieczność audytu oraz aktualizacji rejestrów czynności przetwarzania i procedur oceny skutków – szczególnie w zakresie operacji profilowania klientów i ryzyka kredytowego. Zapewnienie pełnej niezależności IOD powinno stać się stałym standardem compliance.
WSA podkreślił, że brak właściwej oceny skutków profilowania dla bezpieczeństwa danych osobowych jest poważnym naruszeniem. Administrator musi nie tylko identyfikować operacje profilowania, ale też przewidywać ich konsekwencje dla ochrony danych i wdrażać odpowiednie środki zapobiegawcze.
Sądowy wyrok w sprawie Toyota Banku wyznacza nowe granice realizacji obowiązków inspektora ochrony danych i dokumentowania procesów profilowania, co wymaga od administratorów przeglądu polityk i procedur zgodnych z RODO.
UODO, znak DKN.5112.14.2022
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
