Decyzja dotyczyła dwóch kar o łącznej wysokości 576 220 zł nałożonych przez Prezesa UODO na Toyota Bank Polska SA za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji.
Prezes UODO Mirosław Wróblewski w wydanej decyzji podkreślił, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor ochrony danych (IOD) nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.
Postępowanie było wynikiem kontroli przeprowadzonej przez Prezesa UODO. Ujawniła ona, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi, i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych i kontrolowaniu zabezpieczeń tego przetwarzania.
źródło: https://uodo.gov.pl/pl/138/3889