Polský dozorový úřad pokutoval Toyota Bank za nesprávné postavení DPO a chybějící záznamy o profilování
Polský úřad pro ochranu osobních údajů (UODO) uložil Toyota Bank Polska celkovou pokutu 132 000 eur za dvě skupiny porušení GDPR.
První pochybení se týkalo postavení pověřence pro ochranu osobních údajů (DPO). Banka porušila článek 38(3) GDPR, který zakazuje, aby DPO zastával funkce vedoucí ke střetu zájmů. UODO shledal, že DPO byl organizačně umístěn do oblasti, jejíž zájmy jsou v přímém napětí s nezávislým výkonem jeho kontrolní role. Za toto pochybení byla uložena pokuta 60 000 eur.
Druhá pokuta ve výši 72 000 eur se vztahovala k porušení článků 30(1) a 35(1,7) GDPR. Banka nepromítla do záznamu o zpracovatelských činnostech skutečnost, že provádí profilování zákazníků. Profilování představuje typ zpracování s vyšším rizikem, k němuž GDPR vyžaduje nejen záznam, ale za určitých podmínek i posouzení vlivu na ochranu osobních údajů (DPIA).
Případ je praktickým upozorněním pro compliance týmy: funkční DPO vyžaduje nejen jmenování kvalifikované osoby, ale i správné organizační zakotvení bez střetu zájmů. A záznamy o zpracování musí odpovídat skutečně prováděným operacím – profilování je třeba explicitně uvést a posoudit jeho rizikovost.
Zdroj
Další články
Microsoft Patch Tuesday: 83 záplat, dva veřejně známé zero-day
Útočníci zneužívají firewally FortiGate k průnikům do sítí a krádeži přihlašovacích údajů
