date

2025-05-16

პოლონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომერციული ბანკის დაჯარიმების შესახებ


პოლონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ კომერციული ბანკის Toyota Bank Polska S.A.“ ინსპექტირების შედეგად დადგინდა, რომ ბანკმა ვერ უზრუნველყო მონაცემთა დაცვის ოფიცრის სრული დამოუკიდებლობა.[1] ასევე, ბანკის მიერ შედგენილი დოკუმენტაცია არ შეიცავდა ინფორმაციას საქმიანობის პროცესში განხორციელებულიპროფაილინგისთაობაზე. კერძოდ:

  • მონაცემთა დაცვასთან დაკავშირებული ინფორმაციის აღრიცხვის დოკუმენტი “Records of Processing Activities”- “ROPA”;
  • მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი, ”Data Protection Impact Assessment “ – “DPIA”.[2]

მონაცემთა დაცვის ოფიცრის არასწორი პოზიციონირება ორგანიზაციის მასშტაბით:

საზედამხედველო ორგანომ კანონმდებლობის მოთხოვნათა დარღვევად მიიჩნია ის ფაქტი, რომ ორგანიზაციის მონაცემთა დაცვის ოფიცერი უშუალოდ არ იყო ანგარიშვალდებული ბანკის მენეჯმენტის და მმართველი რგოლის წინაშე. ოფიცერი ინფორმაციული ტექნოლოგიების აუდიტორისა და უსაფრთხოების სპეციალისტის ფუნქციებს ითავსებდა მონაცემთა უსაფრთხოების დეპარტამენტში და ანგარიშვალდებული იყო ამავე დეპარტამენტის ხელმძღვანელის წინაშე.[3] საზედამხედველო ორგანომ გადაწყვეტილების მიღებისას მხედველობაში მიიღო ის გარემოება, რომ მონაცემთა უსაფრთხოების დეპარტამენტის ხელმძღვანელის ფუნქცია-მოვალეობებში მონაცემთა დამუშავების მოქმედებების მართვაც შედიოდა.

პროფაილინგისშესახებ ინფორმაციის აღრიცხვის საკითხი:

ბანკი მომხმარებელთა გადახდისუნარიანობის დასადგენად მონაცემთა სუბიექტების დიდი რაოდენობით ინფორმაციას ამუშავებდა, მათ შორის, „პროფაილინგის“ გზით. ამავე მიზნით მუშავდებოდა მომხმარებელთა საკრედიტო ქულის (“Credit Score“) შესახებ მონაცემები.

მონაცემთა დაცვასთან დაკავშირებული ინფორმაციის აღრიცხვის დოკუმენტში (“ROPA”), მონაცემთა დამუშავების მოქმედების სრული ინფორმაცია არ იყო მითითებული, მათ შორის, „პროფაილინგისშესახებ. ასევე, ბანკს პროფაილინგის“ პროცესში მონაცემთა დაცვაზე ზეგავლენა (“DPIA”) არ ჰქონდა შეფასებული. საზედამხედველო ორგანოს გადაწყვეტილებაში ხაზგასმულია მონაცემთა მასშტაბური დამუშავების დოკუმენტირებისა და მონაცემთა დამუშავების რისკების შეფასების მნიშვნელობაზე. მიზანშეწონილია, რომ მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტში (“DPIA”)  „პროფაილინგისფარგლების შესახებ, მათ შორის მისი კონტექსტისა და მიზნების თაობაზე,  ასახული ინფორმაცია სრულყოფილად და გამჭვირვალედ იყოს აღრიცხული.[4]

საზედამხედველო ორგანოს გადაწყვეტილება

შედეგად, საზედამხედველო ორგანომ ბანკს დააკისრა ადმინისტრაციული სახდელი - ჯარიმა:

  • 60,000 ევროს ოდენობით -  GDPR-ის 38(3) მუხლის დარღვევისთვის;
  • 72,000 ევროს ოდენობით - GDPR-ის 30(1) და 35(1.7) მუხლების დარღვევისთვის.

აღსანიშნავია, რომ ბანკზე დაკისრებული ადმინისტრაციული ჯარიმის საერთო რაოდენობამ  132 000 ევრო შეადგინა.

 

 

[1] Fine for Toyota Bank for Improperly Located DPO and Failure to Include Profiling in Documentation, <https://uodo.gov.pl/en/553/1833> [22.05.2025].

[2] Polish SA: administrative fine of 132 000 € for improper positioning of the DPO and failure to include profiling in documentation, https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en [15.05.2025].

[3] Personal Data Protection Office: Toyota Bank Polska fined for profiling customers <https://wbj.pl/personal-data-protection-office-toyota-bank-polska-fined-for-profiling-customers/post/144683> [22.05.2025].

[4] Toyota Bank Polska Penalized for GDPR Non-Compliance <https://captaincompliance.com/education/toyota-bank-polska-penalized-for-gdpr-non-compliance/> [22.05.2025].

მსგავსი #Datanewsroom