Decyzja odnosi się do dwóch kar o łącznej wysokości 576 220 zł nałożonych przez Prezesa UODO na Toyota Bank Polska SA za niewłaściwe usytuowanie IOD i nieuwzględnienie profilowania w dokumentacji.

rozwiń

Prezes UODO Mirosław Wróblewski w wydanej decyzji podkreślił, że Toyota Bank Polska S.A. jako administrator danych doprowadziła do sytuacji, że inspektor ochrony danych (IOD) nie był w pełni niezależny w swojej pracy. PUODO za to nałożył karę w wysokości 261 918 zł. Natomiast za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, nałożył karę w wysokości 314 302 zł.

Postępowanie było wynikiem kontroli przeprowadzonej przez Prezesa UODO. Ujawniła ona, że inspektor ochrony danych nie podlegał bezpośrednio najwyższemu kierownictwu banku, tj. jego zarządowi, i pracował na stanowisku IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Tymczasem obowiązki tego dyrektora polegały także na zarządzaniu procesami przetwarzania danych i kontrolowaniu zabezpieczeń tego przetwarzania.

Okazało się też, że bank profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Bank przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez Bank. To właśnie ocena punktowa ryzyka kredytowego i nadanie kategorii ryzyka kredytowego wiąże się z profilowaniem danych, które powinno być, a nie było uwzględnione przez bank w rejestrze czynności przetwarzania danych. Ponadto, bank nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych.

WSA w wyroku z 18 września 2025 r. w ustnych motywach podzielił argumentację PUODO. Sąd ten uznał, że: Prezes UODO prawidłowo ocenił sytuację, stan faktyczny i prawny w sprawie inspektora ochrony danych w Toyota Bank Polska. Zatrudnienie IOD było sprzeczne z przepisami prawa a Prezes UODO prawidłowo ocenił, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu. Administrator nie zapewnił odpowiednich środków do tego, by IOD nie otrzymywał instrukcji co do sposobu wykonywania przez niego obowiązków. Zdaniem sądu, nieuwzględnienie profilowania w treści opisowej rejestru czynności przetwarzania, stanowiło naruszenie przepisów RODO (art.. 30 ust.1, art. 35 ust. 1 i ust. 7).

Polityka prywatności i wykorzystywania plików Cookies w serwisach internetowych UODO

Urząd Ochrony Danych Osobowych przywiązuje szczególną wagę do poszanowania prywatności użytkowników odwiedzających serwisy w domenie *.uodo.gov.pl. Gromadzone w dziennikach logów dane są wykorzystywane tylko i wyłącznie do celów administrowania serwisem. Nie zabiegamy o identyfikację użytkowników stron Urzędu. Żadne dane identyfikacyjne, do żadnych celów, nie są przekazywane do jakiejkolwiek trzeciej strony.

Gromadzenie danych

Zgodnie z przyjętą praktyką większości serwisów WWW, przechowujemy zapytania HTTP kierowane do naszego serwera. Przeglądane zasoby identyfikowane są poprzez adresy URL. Dokładny wykaz informacji przechowywanych w plikach logów serwera WWW jest następujący:

  • publiczny adres IP komputera z którego nadeszło zapytanie (może to być bezpośrednio komputer użytkownika)
  • nazwę stacji klienta - identyfikacja realizowana przez protokół HTTP o ile jest możliwa,
  • nazwa użytkownika podawana w procesie autoryzacji,
  • czas nadejścia zapytania,
  • pierwszy wiersz żądania HTTP,
  • kod odpowiedzi HTTP,
  • liczbę wysłanych przez serwer bajtów,
  • adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) - w przypadku gdy przejście do strony Urzędu nastąpiło przez odnośnik,
  • informacje o przeglądarce użytkownika,
  • informacje o błędach, jakie nastąpiły przy realizacji transakcji HTTP.

Dane te nie są kojarzone z konkretnymi osobami przeglądającymi strony Urzędu. Dla zapewnienia jak najwyższej jakości serwisu, okazjonalnie analizujemy pliki z logami w celu określenia: które strony odwiedzane są najczęściej, jakie przeglądarki stron WWW są stosowane, czy struktura strony nie zawiera błędów itp.

Wykorzystywanie danych

Zebrane logi przechowywane są przez czas nieokreślony jako materiał pomocniczy służący do administrowania serwisem. Informacje w nich zawarte nie są ujawniane nikomu poza osobami upoważnionymi do administrowania serwerem oraz siecią Urzędu. Na podstawie plików logów mogą być generowane statystyki stanowiące pomoc w administrowaniu. Zbiorcze podsumowania w postaci takich statystyk nie zawierają żadnych cech identyfikujących osoby odwiedzające serwis.

Mechanizm Cookies na stronach internetowych UODO

Mechanizm Cookies nie jest wykorzystywany do pozyskiwania jakichkolwiek informacji o użytkownikach serwisu ani śledzenia ich nawigacji. Pliki Cookies stosowane w serwisach UODO nie przechowują żadnych danych osobowych ani innych informacji zebranych od użytkowników.

W serwisie uodo.gov.pl okresowo może być wykorzystywany sesyjny plik Cookie o nazwie INFO - do zapisania faktu zapoznania się z wyróżnionymi informacjami. Plik Cookie jest tworzony w celu ograniczania ilości emisji okresowo pojawiających się ogłoszeń. Dzięki zastosowaniu pliku Cookie informacja wyświetla się tylko raz dla jednej sesji użytkownika i nie ukazuje się ponownie po przejściu na kolejną stronę serwisu. Wymieniony wyżej sesyjny plik Cookie, jeśli jest tworzony, to występuje w określonym czasie, i tylko przez czas, w jakim strona jest odwiedzana przez użytkownika. Zamknięcie okna przeglądarki ze stroną serwisu uodo.gov.pl powoduje usunięcie utworzonego pliku.

Odnośniki do innych stron

Serwis Urzędu Ochrony Danych Osobowych zawiera odnośniki do innych stron WWW. Nie możemy ponosić odpowiedzialności za zasady zachowania prywatności obowiązujące na tych stronach. Namawiamy, by po przejściu na inne strony, zapoznać się z polityka prywatności tam ustaloną. Niniejsza polityka prywatności dotyczy tylko serwisów WWW Urzędu Ochrony Danych Osobowych.

Zmiany

W przypadku zmiany obowiązującej polityki prywatności, wprowadzone zostaną odpowiednie modyfikacje do powyższego zapisu.