Decyzja dotyczyła dwóch kar o łącznej wysokości 576 220 zł nałożonych przez Prezesa UODO na Toyota Bank Polska SA za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji.
Prezes UODO Mirosław Wróblewski w wydanej decyzji podkreślił, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor ochrony danych (IOD) nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.
Postępowanie było wynikiem kontroli przeprowadzonej przez Prezesa UODO. Ujawniła ona, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi, i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych i kontrolowaniu zabezpieczeń tego przetwarzania.
Okazało się też, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.
źródło: https://uodo.gov.pl/pl/138/3889