Ponad 260 tys. kary za to, że IOD był podwładnym szefa działu bezpieczeństwa

To co Inspektor Ochrony Danych ma wpisane w umowie o pracę może mieć większe znaczenie niż się wszystkim wydawało. Po raz pierwszy w Polsce UODO ukarał firmę za “złe usytuowanie IOD” w organizacji.

W ubiegłym miesiącu Prezes UODO nałożył karę w wysokości pół miliona złotych (dokładnie 576.220 zł) na Toyota Bank. Decyzja w tej sprawie (DKN.5112.14.2022) była podwójnie ciekawa ponieważ dotyczyła:

• pominięcia profilowania w rejestrze czynności przetwarzania danych (kara za to wyniosła 314.302 zł),
• nieprawidłowego wyznaczenia Inspektora Ochrony Danych, czy też raczej jego nieprawidłowego “usytuowania” w organizacji (za to dodatkowe 261.918 zł).

Kary wydają się wysokie choć tak naprawdę stanowią 0,6% oraz 0,72% kar maksymalnych za te naruszenia. Były czynniki łagodzące, w tym dobra współpraca z organem nadzorczym.

Sama decyzja zapadła po tym jak UODO przeprowadził kontrolę w Toyota Banku. Zakres kontroli miał obejmować m.in. kwestie profilowania, prowadzenia rejestru czynności przetwarzania danych, dokonywania oceny skutków dla ochrony danych osobowych oraz… wyznaczenia Inspektora Ochrony Danych. Zacznijmy od omówienia tego ostatniego.

IOD podległy “bezpiece”

W trakcie kontroli ustalono, że Inspektorem Danych Osobowych był “Pan SJ”. Pracował on na stanowisku IT specjalisty w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa. Podlegał zatem bezpośrednio dyrektorowi tego departamentu co oznaczało, że musiał kontrolować swojego szefa.  Z treści opisu jego stanowiska pracy w dokumentacji firmy wynikało, że SJ “raportuje do Dyrektora Departamentu”. Trudniej o wyraźniejsze potwierdzenie zależności służbowej.

Co ciekawe, jako “specjalista od bezpieczeństwa” SJ miał wdrażać i kontrolować procedury”, a jako IOD miał prowadzić szkolenia, wspierać wdrażanie środków bezpieczeństwa (technicznych i organizacyjnych), obsługiwać incydenty i prowadzić korespondencję. Co prawda wyznaczono jeszcze zastępcę IOD (nazwanego w decyzji “Panem KN”), ale tym zastępcą był… przełożony SJ w dziale bezpieczeństwa. Stworzyło to sytuację, którą można rozrysować tak.

Toyota Bank odpowiadając na zastrzeżenia UODO próbował przekonywać, że zależności wcale nie było. Ułożenie stanowisk miało rzekomo charakter “administracyjny” i służyło takim kwestiom jak akceptacja urlopów czy dostosowanie płac. W trakcie postępowania przedstawiono wydruk wiadomości e-mail przesłanej przez IOD bezpośrednio do członka zarządu i to miało dowodzić, że faktycznie był on niezależny. Prezes UODO uznał jednak, że mając na uwadze treść umów zawartych z SJ i KN naruszenie przepisów miało charakter “umyślnego działania”. Poza tym przepisy RODO mają formalnie umocnić IOD-a w organizacji, a kwestia nieformalnych ustaleń jest raczej trudna do sprawdzenia i egzekwowania.

Częsty błąd w myśleniu o IODzie

Niewiele jest organizacji, które tworzą w pełni samodzielne stanowisko Inspektora Ochrony Danych. Najczęściej jest to osoba, która wykonuje jakieś inne obowiązki plus pracę IOD. RODO pozwala na taki układ (art. 38 ust. 6), ale z jednym zastrzeżeniem – nie może być konfliktu interesów miedzy stanowiskami. Poza tym IOD musi być odpowiednio niezależny ponieważ ma kontrolować procesy przetwarzania danych. Nie powinien sam tych procesów tworzyć.

Niestety wiele firm traktuje IODa jako “człowieka od ochrony danych”, co oznacza, iż często musi on tworzyć system ochrony danych, opracowywać potrzebne procesy i dokumenty, wdrażać procedury itd. W tym układzie IOD przestaje być kontrolującym, a staje się de facto nadzorcą samego siebie. Robienie tego w ramach “działu bezpieczeństwa” wydaje się naturalne i tak właśnie firmy to organizują. Decyzja UODO pokazuje, że przepisy art. 38 regulującego sprawę wyznaczania IOD należy traktować naprawdę poważnie.

Dodajmy jeszcze, że jak dotąd Prezes UODO wydał tylko dwie decyzje dotyczące sytuacji IOD-ów. Mowa o decyzji opisanej w tym tekście oraz o decyzji DKN.5131.7.2024, która dotyczyła niewyznaczenia IOD.

Profilowanie ma być ujęte odrębnie

Poruszmy jeszcze wątek drugiej części kary (314.302 zł) za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych.

W trakcie kontroli w Toyota Banku sprawdzono rejestr czynności przetwarzania, w którym ujęto zbiory danych osobowych, czynności i formy przetwarzania, cele itd. Niestety w tym rejestrze nie uwzględniono profilowania danych osobowych. Ocena skutków dla ochrony danych (tzw. DPIA) klientów wnioskujących o produkty kredytowe była przeprowadzona, ale nie dokonywano tej oceny  odrębnie dla czynności profilowania.

Warto zwrócić uwagę na pewien niuans z decyzji. Zdaniem banku przeprowadzona ocena skutków obejmowała swoim zakresem profilowanie gdyż jest ono elementem udzielania produktu kredytowego, a tę czynność w rejestrze uwzględniono. Częścią udzielenia kredytu jest wszak ocena zdolności kredytowej (scoring). Tylko czy scoring jest profilowaniem? No cóż… zazwyczaj jako profilowanie rozumiemy “zautomatyzowane podejmowanie decyzji” na podstawie wnioskowania z danych. Ocena scoringowa nie jest tym samym co decyzja w sprawie kredytu, ale też wielu z nas uzna, że jest to jakiś rodzaj profilowania.

Prezes UODO powołał się w swojej decyzji na Wytyczne Grupy Roboczej Art. 29 w których stwierdzono, że

Decyzje, które nie są wyłącznie zautomatyzowane także mogą obejmować profilowanie. Na przykład przed przyznaniem kredytu hipotecznego bank może wziąć pod uwagę wynik oceny zdolności kredytowej (scoring) pożyczkobiorcy, przy czym przed podjęciem jakiejkolwiek decyzji wobec danej osoby fizycznej następuje jeszcze interwencja człowieka.

Wytyczne Grupy 29 mówią też o “decyzjach opartych na profilowaniu”, a nie tylko w jego wyniku podjętych. Tak więc zdaniem UODO bank powinien uwzględnić czynność profilowania jako osobną w sporządzonej przez niego analizie ryzyka oraz powinien poddać ją ocenie skutków. Jeśli tego nie zrobił to naruszył art. 35 ust. 1 i ust. 7 RODO.