Klient włoskiego banku chciał skorzystać z długoterminowego najmu samochodu. Bank odmówił uzasadniając, że znajduje się on na tzw. “czarnej liście”/ “blackliście”. Zdziwiony klient postanowił więc zrealizować swoje prawo dostępu do danych osobowych wobec banku (administratora danych), ale ten odmówił (o prawie dostępu pisaliśmy tutaj). Wobec powyższego wniósł on skargę do włoskiego organu nadzoru, co poskutkowało wszczęciem postępowania i nałożeniem na bank kary w wysokości miliona euro.
Czy tworzenie i prowadzenie takich list jest na gruncie RODO możliwe i jakie wnioski płyną z decyzji w tej sprawie?
1. Wprowadzenie
Decyzja włoskiego organu nadzorczego dotycząca CA Auto Bank SpA (dawniej FCA Bank SpA) z dnia 6 czerwca 2024 roku jest szczególnie istotna w kontekście tworzenia i prowadzenia tzw. „czarnych list”. Są one rozumiane jako listy osób lub podmiotów, które zostały uznane za niewiarygodne lub niepożądane w określonych kontekstach.
2. Naruszenia związane z blacklistami
W analizowanej decyzji kluczowym punktem było niewłaściwe przetwarzanie danych osobowych przez bank, które dotyczyło również dostępu do systemu SCIPAFI (zintegrowany system informatyczny używany we Włoszech do monitorowania i zarządzania informacjami o pożyczkach i ubezpieczeniach). Chociaż decyzja nie odnosi się bezpośrednio do blacklist, wnioski z niej płynące mają istotne implikacje dla sposobu, w jaki administratorzy mogą tworzyć i prowadzić takie listy.
Kluczowe aspekty:
- Zasada zgodności z prawem i przejrzystości: zgodnie z art. 5 RODO, dane osobowe muszą być przetwarzane w sposób przejrzysty i zgodny z prawem. To oznacza, że przetwarzanie danych w ramach takich list musi znajdować swoje oparcie w jednej z podstaw prawnych przewidzianych przez RODO (art. 6 lub 9). Dane muszą być także przetwarzane w konkretnym celu lub celach. Administratorzy muszą spełnić wobec osób znajdujących się na listach obowiązek informacyjny z art. 13 lub 14 RODO.
- Minimalizacja Danych: zgodnie z zasadą minimalizacji danych, należy przetwarzać tylko te dane, które są niezbędne do osiągnięcia określonego celu. Blacklisty nie mogą zawierać więcej danych niż to konieczne do realizacji danego celu, na przykład oceny ryzyka kredytowego czy zarządzania bezpieczeństwem.
- Realizacja praw osób, których dane dotyczą: przetwarzanie danych osobowych wiąże się z obowiązkiem realizacji praw podmiotów danych przewidzianych przez RODO. Oznacza to, że w razie wpłynięcia wniosku, administrator jest zobowiązany do rozpatrzenia go i udzielenia odpowiedzi w terminie miesiąca, a jeżeli nie zamierza spełniać takiego żądania – wskazać przyczyny.
3. Konsekwencje decyzji dla tworzenia Blacklist
Decyzja nałożona na CA Auto Bank SpA uwydatnia kilka kluczowych aspektów dotyczących prowadzenia blacklist: - Administratorzy muszą zapewnić, że wszystkie procedury związane z tworzeniem i zarządzaniem blacklistami są zgodne z przepisami RODO. To oznacza konieczność dokładnego udokumentowania podstaw prawnych, celów przetwarzania oraz stosowania procedur dot. realizacji praw podmiotów danych.
- Dostęp do blacklist musi być kontrolowany i ograniczony tylko do członków zespołu, którzy faktycznie potrzebują mieć do nich dostęp z uwagi na zakres obowiązków.
- Przetwarzanie danych w takich systemach wymaga stosowania adekwatnych zabezpieczeń technicznych i organizacyjnych.
- Wszystkie działania związane z blacklistami muszą być zgodne z zasadami, o których mowa w RODO.
4. Wnioski
Tworzenie i prowadzenie blacklist wymaga szczególnej ostrożności. Administratorzy muszą zapewnić, aby przetwarzanie danych w ramach takich list odbywało się zgodnie z wymogami stawianymi przez RODO. Administratorzy w szczególności powinni:
- prowadzić dokumentacje przewidziane przez RODO (m.in. RCP, analizy ryzyka, rejestry naruszeń), a także zapewnić pełną przejrzystość dla osób, których dane są przetwarzane, w tym realizować prawa przyznane podmiotom danych przez RODO.
- regularnie audytować swoje procesy przetwarzania danych, aby upewnić się, że są zgodne z RODO,
- zapewnić, aby dostęp do danych był ściśle kontrolowany i ograniczony do członków zespołu, którzy faktycznie potrzebują dostępu do tych danych z uwagi na wykonywane obowiązki.
Przetwarzanie danych w ramach blacklist jest możliwe, ale konieczne jest spełnienie obowiązków przewidzianych przez RODO. Kary za nieprzestrzeganie przepisów są dotkliwe. Niezależnie od dolegliwości finansowych, ucierpieć może także budowana latami renoma firmy. Obowiązków tych nie warto zatem bagatelizować.