Prezes Urzędu Ochrony Danych Osobowych nałożył karę finansową w wysokości 261 918 PLN na Toyota Bank S.A. za niewłaściwe usytuowanie IOD w strukturze firmy.
W trakcie kontroli przeprowadzonej przez UODO okazało się, że Inspektor Ochrony Danych nie podlegał bezpośrednio zarządowi banku (czyli najwyższemu kierownictwu), lecz był zatrudniony w departamencie bezpieczeństwa i podlegał bezpośrednio dyrektorowi tego departamentu. Wśród obowiązków dyrektora było zaś zarządzanie procesami przetwarzania danych. W tej sytuacji zachodziła obawa, że Inspektor Ochrony Danych nie jest w pełni niezależny w swojej pracy.
Oprócz kary za niewłaściwe usytuowanie IOD w strukturze firmy Bank otrzymał również karę finansową w wysokości ponad 314 000 PLN za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych. W toku czynności kontrolnych okazało się, że bank profiluje dane klientów w celu określania ich zdolności kredytowej, oraz przetwarza wyniki oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez bank. Bank nie uwzględnił w rejestrze czynności przetwarzania danych profilowania, nie ocenił także skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.
Mimo, że bank wskazał, że Inspektor Ochrony Danych w pełnieniu swoich obowiązków inspektora był całkowicie niezależny, a jego zatrudnienie w departamencie bezpieczeństwa było spowodowane kwestiami administracyjnymi, to Prezes UODO zdecydował się jednak na nałożenie kary. Również fakt, że bank zaczął jeszcze przed kontrolą aktualizować wykaz czynności w ramach których dochodzi do przetwarzania danych nie spowodował zmiany decyzji Prezesa UODO o nałożeniu kary.
W swojej decyzji Prezes Urzędu Ochrony Danych Osobowych wskazał, że czynność profilowania ze względu na dużą skalę tego procederu jest bardzo istotna, i dlatego zakres, kontekst i cele profilowania powinny być wyraźnie objęte oceną skutków przetwarzania dla ochrony danych.
