Postępowanie UODO było wynikiem kontroli przeprowadzonej przez UODO w Toyota Bank Polska S.A. i dotyczącej m.in. właśnie profilowania danych klientów i potencjalnych klientów. Okazało się, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.
Toyota Bank zapłaci za ukryty scoring
Okazało się też, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych.
Bank zapewniał Prezesa UODO, że inspektor ochrony danych w zakresie swoich obowiązków inspektora był całkowicie niezależny, a jego usytuowanie w departamencie bezpieczeństwa „ma jedynie wymiar administracyjny (np. akceptacja urlopów oraz ustalenie warunków finansowych)”. Jeśli zaś chodzi o wykaz czynności, w ramach których dochodzi do przetwarzania danych, to jeszcze przed kontrolą UODO bank zaczął ten wykaz aktualizować i ostatecznie objął nim także profilowanie.
Czytaj więcej:
Prezes UODO wskazał jednak w decyzji, że w momencie kontroli bank naruszał przepisy o ochronie danych osobowych i prawo wymaga, by wyciągnąć z tego konsekwencje. Czynność profilowania jest istotna, chociażby ze względu na jej dużą skalę. Dlatego zakres, kontekst i cele profilowania, powinny być wyraźnie objęte oceną skutków przetwarzania dla ochrony danych.
