WSA oddalił skargę Toyota Bank Polska SA na decyzję karową Prezesa UODO

Decyzja dotyczyła dwóch kar o łącznej wysokości 576 220 zł nałożonych przez Prezesa UODO na Toyota Bank Polska SA za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji.

Prezes UODO Mirosław Wróblewski w wydanej decyzji podkreślił, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor ochrony danych (IOD) nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.

Postępowanie było wynikiem kontroli przeprowadzonej przez Prezesa UODO. Ujawniła ona, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi, i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych i kontrolowaniu zabezpieczeń tego przetwarzania.

Okazało się też, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.

WSA w wyroku z 18 września 2025 r. w ustnych motywach podzielił argumentację PUODO. Sąd ten uznał, że: Prezes UODO prawidłowo ocenił sytuację, stan faktyczny i prawny w sprawie inspektora ochrony danych w Toyota Bank Polska. Zatrudnienie IOD było sprzeczne z przepisami prawa a Prezes UODO prawidłowo ocenił, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu. Administrator nie zapewnił odpowiednich środków do tego, by IOD nie otrzymywał instrukcji co do sposobu wykonywania przez niego obowiązków. Zdaniem sądu, nieuwzględnienie profilowania w treści opisowej rejestru czynności przetwarzania, stanowiło naruszenie przepisów RODO (art.. 30 ust.1, art. 35 ust. 1 i ust. 7).

DKN.5112.14.2022