Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na Toyota Bank Polska S.A. dwie kary administracyjne o łącznej wartości 576 220 zł. Powodem było naruszenie przepisów RODO związane z niewłaściwym usytuowaniem inspektora ochrony danych (IOD) oraz nieuwzględnienie profilowania klientów w dokumentacji przetwarzania danych.
Kara za brak niezależności IOD
W wyniku kontroli przeprowadzonej przez UODO stwierdzono, że inspektor ochrony danych nie był w pełni niezależny w wykonywaniu swoich obowiązków. IOD zatrudniony w Toyota Banku pełnił funkcję audytora IT/specjalisty ds. bezpieczeństwa, a następnie pracował w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem dyrektor ten odpowiadał m.in. za procesy przetwarzania danych i kontrolę zabezpieczeń.
Taki model organizacyjny – zdaniem Prezesa UODO – podważał niezależność IOD, który powinien podlegać bezpośrednio najwyższemu kierownictwu banku. W związku z tym na Toyota Bank Polska nałożono karę w wysokości 261 918 zł.
Profilowanie bez uwzględnienia w dokumentacji
Druga kara, w wysokości 314 302 zł, dotyczyła nieprawidłowości w dokumentacji przetwarzania danych. Toyota Bank Polska stosował profilowanie klientów m.in. w procesie oceny zdolności kredytowej. Analizowano dane w ramach tzw. scoringu kredytowego i przypisywano klientom kategorie ryzyka. Mimo że tego rodzaju operacje wiązały się z profilowaniem, bank nie uwzględnił ich w rejestrze czynności przetwarzania danych, a także nie przeprowadził wymaganej oceny skutków dla ochrony danych osobowych.
Stanowisko sądu
Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego (WSA), który w wyroku z 18 września 2025 r. przyznał rację Prezesowi UODO. W ustnych motywach rozstrzygnięcia sąd stwierdził, że:
- inspektor ochrony danych w Toyota Bank Polska był usytuowany niezgodnie z wymogami RODO,
- bank nie zapewnił warunków gwarantujących niezależność pracy IOD,
- brak uwzględnienia profilowania w rejestrze czynności przetwarzania oraz brak oceny skutków naruszał przepisy RODO (art. 30 ust. 1, art. 35 ust. 1 i 7).
Decyzja UODO i jej podtrzymanie przez WSA pokazują, jak istotne dla instytucji finansowych jest właściwe wdrażanie przepisów RODO – zarówno w zakresie niezależności inspektorów ochrony danych, jak i pełnego dokumentowania procesów przetwarzania, w tym profilowania.
Eksperci podkreślają, że wyrok może stanowić istotny sygnał ostrzegawczy dla innych banków i instytucji finansowych, które powinny dokonać przeglądu swoich procedur pod kątem zgodności z RODO.
