RODO a scoring, czyli ocena punktowa

Stan cywilny, profil zawodowy, płeć, a nawet to, czy częściej kupujemy alkohol w niedzielę rano, czy w piątek wieczorem, może mieć wpływ na naszą wiarygodność w oczach banków. Co to jest i jak działa scoring (ocena punktowa)? Dlaczego nie możemy się dowiedzieć, co wpływa na jego wynik? Wyjaśniamy, jak banki interpretują przepisy RODO, oceniając wiarygodność i zdolność kredytową swoich klientów, i proponujemy rozwiązania, które rzuciłyby nieco więcej światła na ten proces. Ponieważ trwają jeszcze prace nad dostosowaniem prawa bankowego do RODO, jest szansa na ich wprowadzenie. 

Wiarygodność według banków 

Banki nie pożyczają pieniędzy każdemu, kto o nie poprosi. Nawet, jeśli same miałyby w tym interes, mają obowiązek weryfikować zdolność kredytową i wiarygodność klienta. Czasem – jak w przypadku pożyczek gotówkowych – wystarczą im podstawowe informacje o kliencie, kopia dowodu osobistego i raport z BIK-u. W przypadku większych kredytów, szczególnie hipotecznych, banki zaglądają głębiej w nasze życie, a nawet próbują przewidzieć przyszłość. Na taką weryfikację składają się trzy elementy:  

• nasza historia w BIK-u, czyli to, jak spłacaliśmy wcześniejsze zobowiązania;
• nasza aktualna sytuacja finansowa, a więc to, ile zarabiamy, na ile nasz dochód jest stabilny, jakie mamy koszty życia i obciążenia finansowe; 
• wynik oceny punktowej, czyli tzw. scoring. 

Ten ostatni element jest najbardziej tajemniczy. Bank nie ujawnia, jakie konkretnie informacje bierze pod uwagę, wyliczając nasz „wskaźnik wiarygodności”. Musi się jednak poruszać w ramach prawa, które określa, z jakich kategorii danych bankom wolno korzystać. Na tej liście są konkretne dane, takie jak data i miejsce urodzenia, płeć, obywatelstwo, stan cywilny, tytuł prawny do zajmowanego lokalu, adres zamieszkania, adres zameldowania, adres zamieszkania, adres do korespondencji, PESEL, NIP, miejsce pracy, zawód, wykształcenie, forma zatrudnienia, liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków. Ale też bardzo pojemna kategoria „dochody i wydatki”. Czy to oznacza, że bank wyciąga wnioski z konkretnych transakcji, których dokonywaliśmy (w jakich sklepach i za ile robimy zakupy)? Nie wiemy. Ostateczny wybór kryteriów i przypisywane im wagi (tj. jaka odpowiedź czyni klienta bardziej, a jaka mniej wiarygodnym) to, według banków, tajemnica przedsiębiorstwa. 

Nie możemy dowiedzieć się, jaki profil zbudował dla nas bank, ani które cechy ocenił pozytywnie, a które negatywnie 

Modele oceny punktowej są kontrolowane przez Komisję Nadzoru Finansowego, może też do nich zajrzeć Urząd Ochrony Danych Osobowych. Ale każdy, kto chciałby zweryfikować własny profil i sprawdzić, co wpłynęło na ocenę punktową, napotka ścianę. Bankowcy obawiają się, że ich ujawnienie zachęcałoby klientów starających się o kredyt do udawania kogoś innego i „rozgrywania” systemu. 

Co na to RODO? 

Przed wejściem w życie RODO dużo się mówiło o zmianach związanych z profilowaniem (czyli takim przetwarzaniem danych, które ma na celu ustalenie ukrytych cech danej osoby lub przewidzenie jej zachowania w przyszłości). Kto i w jakich celach będzie mógł to robić? Co z bankami i innymi instytucjami, które muszą oceniać swoich klientów, bo od tego zależy ich stabilność i tego wymaga od nich Komisja Nadzoru Finansowego? Dyskusja o dopuszczalności profilowania budziła duże emocje, bo w grę wchodzą poważne interesy finansowe. Fakty jednak są takie, że w tej sferze RODO nie wprowadziło większej rewolucji. Profilowanie jak było, tak jest dopuszczalne. Dzięki RODO może jednak stać się bardziej przejrzyste.

Bardziej restrykcyjne przepisy dotyczą decyzji, które są podejmowane w zautomatyzowany sposób, bez udziału człowieka, zwykle właśnie w oparciu o profilowanie. Na długo przed RODO w polskim prawie istniała reguła, zgodnie z którą każdy, komu „maszyna” (baza danych połączona z programem komputerowym) odmówiła zawarcia umowy (np. pożyczki), miał prawo odwołać się do człowieka (art. 26a starej ustawy o ochronie danych osobowych). 

RODO daje nam prawo do wyjaśnienia decyzji o odmowie kredytu, podjętej bez udziału człowieka. Czy takie wyjaśnienie powinno obejmować scoring? 

RODO zawiera bardzo podobny przepis (art. 22), który chroni nas przed decyzjami opierającymi się wyłącznie na zautomatyzowanym przetwarzaniu danych. Niestety, chodzi tylko o decyzje, które wywołują skutki prawne lub w istotny sposób wpływają sytuację osoby, której dane są przetwarzane. W takich sytuacjach mamy prawo do wyjaśnienia podstaw decyzji, a nawet jej zakwestionowania. Wystarczy jednak, że w procesie pojawi się człowiek (np. analityk bankowy) albo wynik profilowania (np. scoringu) będzie jednym z czynników, które wpływają na taką decyzję, i już ochrona wprowadzona przez RODO przestaje działać. A przynajmniej pojawia się spór interpretacyjny.

Podsumowując: RODO daje nam prawo do wyjaśnienia decyzji o przyznaniu albo odmowie kredytu, która została podjęta bez udziału człowieka (również, jeśli chcemy zrozumieć, dlaczego zaproponowane nam warunki są niekorzystne). Spór interpretacyjny dotyczy tego, czy w ramach takiego wyjaśnienia możemy domagać się ujawnienia, co wpłynęło (negatywnie) na nasz scoring (ważny czynnik wpływający na decyzję kredytową wpływa). I czy mamy to prawo również wtedy, gdy w decyzję był zaangażowany człowiek, ale jego rola ograniczyła się do zaakceptowania sugestii systemu komputerowego. 

Prawo do wyjaśnienia decyzji kredytowej – dla każdego!

Według Związku Banków Polskich, który opracował dla tej branży kodeks dobrych praktyk w zakresie przetwarzania danych osobowych, model scoringowy to tajemnica przedsiębiorstwa, a klienci nie mają prawa do wyjaśnienia, dlaczego system przyznał im taką, a nie inną ocenę. Dla banków scoring to zwykłe profilowanie, zmierzające do ustalenia czy jesteśmy wiarygodni kredytowo i jak się zachowamy w przyszłości („spłaci / nie spłaci”). To jeszcze nie jest decyzja mająca skutki prawne („nie dostaniesz tej pożyczki”) – a przecież RODO przewiduje prawo do wyjaśnienia tylko w przypadku automatycznie podjętych decyzji, nie ocen.

Rozumiemy ten argument, ale sami proponujemy inną perspektywę. To prawda, że modele scoringowe nie „wypluwają” decyzji kredytowych, tylko oceny odzwierciedlające nasz styl życia, sytuację rodzinną, pozycję społeczną, stosunek do ryzyka. Te oceny są jednak generowane automatycznie i realnie wpływają na to, jak potraktuje nas bank. Szczególnie w sytuacji, w której to właśnie wynik oceny punktowej zaważył na ostatecznej decyzji, uważamy, że klient ma prawo do wyjaśnienia, dlaczego tak się stało. A więc: jakie jego cechy lub przewidywane zachowania wpłynęły na zły scoring. 

To nie fair, że prawo do wyjaśnienia decyzji kredytowych mają jedynie przedsiębiorcy

Nasz drugi postulat sprowadza się do tego, że każda decyzja banku, która niesie ze sobą skutki finansowe i opiera się na przetwarzaniu naszych danych osobowych, powinna podlegać wyjaśnieniu. Niekoniecznie z automatu, ale z pewnością na żądanie klienta. Według prawa bankowego (art. 70), taki przywilej mają dziś tylko przedsiębiorcy. Naszym zdaniem prawo do wyjaśnienia należy się wszystkim klientom banków. Wprowadzenie takiej reguły uwolniłoby nas od sporów interpretacyjnych, które w kontekście decyzji kredytowych wydają się nieuchronne. Jeśli zostaniemy na gruncie dosłownej interpretacji RODO, w każdym sporze będzie wracać pytanie o udział człowieka w podjętej przez bank decyzji. Czy analityk zweryfikował pozyskane dane i sam ocenił ryzyko, czy tak naprawdę przeważył wynik scoringu? Nie chcemy iść tą drogą, dlatego proponujemy zmianę prawa bankowego i rozciągnięcie prawa do wyjaśnienia każdej decyzji kredytowej na konsumentów. 

Katarzyna Szymielewicz

Zobacz inne teksty o RODO w poszczególnych sektorach: RODO na tacy. Sezon II.

Posłuchaj odcinka podcastu Panoptykon 4.0: Co wie o Tobie bank?

Dowiedz się więcej o tym, jak tworzone są modele kredytowe.

Od niemal 10 lat Fundacja Panoptykon walczy o wzmocnienie praw jednostki w walce z korporacjami. Wesprzyj nas w tej walce!