Po kontroli przeprowadzonej w Toyota Bank Polska S.A. prezes UODO Mirosław Wróblewski stwierdził, że Toyota Bank Polska S.A. jako administrator danych, doprowadziła do sytuacji, że inspektor ochrony danych (IOD) nie był w pełni niezależny w swojej pracy. Nie podlegał bowiem bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi, i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych i kontrolowaniu zabezpieczeń tego przetwarzania.
Toyota Bank Polska SA profilował klientów
Okazało się też, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.
Za pierwsze naruszenie przepisów o ochronie danych PUODO nałożył na Toyota Bank Polska S.A. karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.
Bank odwołał się do sądu, ale przegrał. W wyroku z 18 września 2025 r. Wojewódzki Sąd Administracyjny w ustnych motywach podzielił argumentację PUODO. Uznał, że zatrudnienie IOD było sprzeczne z przepisami prawa a Prezes UODO prawidłowo ocenił, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu. Administrator nie zapewnił odpowiednich środków do tego, by IOD nie otrzymywał instrukcji co do sposobu wykonywania przez niego obowiązków. Zdaniem sądu, nieuwzględnienie profilowania w treści opisowej rejestru czynności przetwarzania, stanowiło naruszenie przepisów RODO.
Czytaj więcej
Toyota Bank Polska S.A. jako administrator danych nie zgłosił profilowania danych klientów i dopr...
