Poradnik 22.11.2018 8 min. czytania Tekst Image Stan cywilny, profil zawodowy, płeć, a nawet to, czy częściej kupujemy alkohol w niedzielę rano, czy w piątek wieczorem, może mieć wpływ na naszą wiarygodność w oczach banków. Co to jest i jak działa scoring (ocena punktowa)? Dlaczego nie możemy się dowiedzieć, co wpływa na jego wynik? Wyjaśniamy, jak banki interpretują przepisy RODO, oceniając wiarygodność i zdolność kredytową swoich klientów, i proponujemy rozwiązania, które rzuciłyby nieco więcej światła na ten proces. Ponieważ trwają jeszcze prace nad dostosowaniem prawa bankowego do RODO, jest szansa na ich wprowadzenie. Wiarygodność według banków Banki nie pożyczają pieniędzy każdemu, kto o nie poprosi. Nawet, jeśli same miałyby w tym interes, mają obowiązek weryfikować zdolność kredytową i wiarygodność klienta. Czasem – jak w przypadku pożyczek gotówkowych – wystarczą im podstawowe informacje o kliencie, kopia dowodu osobistego i raport z BIK-u. W przypadku większych kredytów, szczególnie hipotecznych, banki zaglądają głębiej w nasze życie, a nawet próbują przewidzieć przyszłość. Na taką weryfikację składają się trzy elementy: nasza historia w BIK-u, czyli to, jak spłacaliśmy wcześniejsze zobowiązania; nasza aktualna sytuacja finansowa, a więc to, ile zarabiamy, na ile nasz dochód jest stabilny, jakie mamy koszty życia i obciążenia finansowe; wynik oceny punktowej, czyli tzw. scoring. Ten ostatni element jest najbardziej tajemniczy. Bank nie ujawnia, jakie konkretnie informacje bierze pod uwagę, wyliczając nasz „wskaźnik wiarygodności”. Musi się jednak poruszać w ramach prawa, które określa, z jakich kategorii danych bankom wolno korzystać. Na tej liście są konkretne dane, takie jak data i miejsce urodzenia, płeć, obywatelstwo, stan cywilny, tytuł prawny do zajmowanego lokalu, adres zamieszkania, adres zameldowania, adres zamieszkania, adres do korespondencji, PESEL, NIP, miejsce pracy, zawód, wykształcenie, forma zatrudnienia, liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków. Ale też bardzo pojemna kategoria „dochody i wydatki”. Czy to oznacza, że bank wyciąga wnioski z konkretnych transakcji, których dokonywaliśmy (w jakich sklepach i za ile robimy zakupy)? Nie wiemy. Ostateczny wybór kryteriów i przypisywane im wagi (tj. jaka odpowiedź czyni klienta bardziej, a jaka mniej wiarygodnym) to, według banków, tajemnica przedsiębiorstwa. Nie możemy dowiedzieć się, jaki profil zbudował dla nas bank, ani które cechy ocenił pozytywnie, a które negatywnie Modele oceny punktowej są kontrolowane przez Komisję Nadzoru Finansowego, może też do nich zajrzeć Urząd Ochrony Danych Osobowych. Ale każdy, kto chciałby zweryfikować własny profil i sprawdzić, co wpłynęło na ocenę punktową, napotka ścianę. Bankowcy obawiają się, że ich ujawnienie zachęcałoby klientów starających się o kredyt do udawania kogoś innego i „rozgrywania” systemu. Co na to RODO? Przed wejściem w życie RODO dużo się mówiło o zmianach związanych z profilowaniem (czyli takim przetwarzaniem danych, które ma na celu ustalenie ukrytych cech danej osoby lub przewidzenie jej zachowania w przyszłości). Kto i w jakich celach będzie mógł to robić? Co z bankami i innymi instytucjami, które muszą oceniać swoich klientów, bo od tego zależy ich stabilność i tego wymaga od nich Komisja Nadzoru Finansowego? Dyskusja o dopuszczalności profilowania budziła duże emocje, bo w grę wchodzą poważne interesy finansowe. Fakty jednak są takie, że w tej sferze RODO nie wprowadziło większej rewolucji. Profilowanie jak było, tak jest dopuszczalne. Dzięki RODO może jednak stać się bardziej przejrzyste. Bardziej restrykcyjne przepisy dotyczą decyzji, które są podejmowane w zautomatyzowany sposób, bez udziału człowieka, zwykle właśnie w oparciu o profilowanie. Na długo przed RODO w polskim prawie istniała reguła, zgodnie z którą każdy, komu „maszyna” (baza danych połączona z programem komputerowym) odmówiła zawarcia umowy (np. pożyczki), miał prawo odwołać się do człowieka (art. 26a starej ustawy o ochronie danych osobowych). RODO daje nam prawo do wyjaśnienia decyzji o odmowie kredytu, podjętej bez udziału człowieka. Czy takie wyjaśnienie powinno obejmować scoring? RODO zawiera bardzo podobny przepis (art. 22), który chroni nas przed decyzjami opierającymi się wyłącznie na zautomatyzowanym przetwarzaniu danych. Niestety, chodzi tylko o decyzje, które wywołują skutki prawne lub w istotny sposób wpływają sytuację osoby, której dane są przetwarzane. W takich sytuacjach mamy prawo do wyjaśnienia podstaw decyzji, a nawet jej zakwestionowania. Wystarczy jednak, że w procesie pojawi się człowiek (np. analityk bankowy) albo wynik profilowania (np. scoringu) będzie jednym z czynników, które wpływają na taką decyzję, i już ochrona wprowadzona przez RODO przestaje działać. A przynajmniej pojawia się spór interpretacyjny. Podsumowując: RODO daje nam prawo do wyjaśnienia decyzji o przyznaniu albo odmowie kredytu, która została podjęta bez udziału człowieka (również, jeśli chcemy zrozumieć, dlaczego zaproponowane nam warunki są niekorzystne). Spór interpretacyjny dotyczy tego, czy w ramach takiego wyjaśnienia możemy domagać się ujawnienia, co wpłynęło (negatywnie) na nasz scoring (ważny czynnik wpływający na decyzję kredytową wpływa). I czy mamy to prawo również wtedy, gdy w decyzję był zaangażowany człowiek, ale jego rola ograniczyła się do zaakceptowania sugestii systemu komputerowego. Prawo do wyjaśnienia decyzji kredytowej – dla każdego! Według Związku Banków Polskich, który opracował dla tej branży kodeks dobrych praktyk w zakresie przetwarzania danych osobowych, model scoringowy to tajemnica przedsiębiorstwa, a klienci nie mają prawa do wyjaśnienia, dlaczego system przyznał im taką, a nie inną ocenę. Dla banków scoring to zwykłe profilowanie, zmierzające do ustalenia czy jesteśmy wiarygodni kredytowo i jak się zachowamy w przyszłości („spłaci / nie spłaci”). To jeszcze nie jest decyzja mająca skutki prawne („nie dostaniesz tej pożyczki”) – a przecież RODO przewiduje prawo do wyjaśnienia tylko w przypadku automatycznie podjętych decyzji, nie ocen. Rozumiemy ten argument, ale sami proponujemy inną perspektywę. To prawda, że modele scoringowe nie „wypluwają” decyzji kredytowych, tylko oceny odzwierciedlające nasz styl życia, sytuację rodzinną, pozycję społeczną, stosunek do ryzyka. Te oceny są jednak generowane automatycznie i realnie wpływają na to, jak potraktuje nas bank. Szczególnie w sytuacji, w której to właśnie wynik oceny punktowej zaważył na ostatecznej decyzji, uważamy, że klient ma prawo do wyjaśnienia, dlaczego tak się stało. A więc: jakie jego cechy lub przewidywane zachowania wpłynęły na zły scoring. To nie fair, że prawo do wyjaśnienia decyzji kredytowych mają jedynie przedsiębiorcy Nasz drugi postulat sprowadza się do tego, że każda decyzja banku, która niesie ze sobą skutki finansowe i opiera się na przetwarzaniu naszych danych osobowych, powinna podlegać wyjaśnieniu. Niekoniecznie z automatu, ale z pewnością na żądanie klienta. Według prawa bankowego (art. 70), taki przywilej mają dziś tylko przedsiębiorcy. Naszym zdaniem prawo do wyjaśnienia należy się wszystkim klientom banków. Wprowadzenie takiej reguły uwolniłoby nas od sporów interpretacyjnych, które w kontekście decyzji kredytowych wydają się nieuchronne. Jeśli zostaniemy na gruncie dosłownej interpretacji RODO, w każdym sporze będzie wracać pytanie o udział człowieka w podjętej przez bank decyzji. Czy analityk zweryfikował pozyskane dane i sam ocenił ryzyko, czy tak naprawdę przeważył wynik scoringu? Nie chcemy iść tą drogą, dlatego proponujemy zmianę prawa bankowego i rozciągnięcie prawa do wyjaśnienia każdej decyzji kredytowej na konsumentów. Katarzyna Szymielewicz Zobacz inne teksty o RODO w poszczególnych sektorach: RODO na tacy. Sezon II. Posłuchaj odcinka podcastu Panoptykon 4.0: Co wie o Tobie bank? Dowiedz się więcej o tym, jak tworzone są modele kredytowe. Od niemal 10 lat Fundacja Panoptykon walczy o wzmocnienie praw jednostki w walce z korporacjami. Wesprzyj nas w tej walce! Katarzyna Szymielewicz Autorka Temat reforma ochrony danych banki i finanse dane osobowe profilowanie Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Prawo do wyjaśnienia decyzji kredytowej: nowa jakość w relacji klient–bank* Ponad 40% Polaków ma kredyt w banku. Dotychczas w relacji z bankiem stawali oni w roli petentów, którzy – starając się o środki, których potrzebują – naturalnie byli w gorszej pozycji. Przejawiało się to m.in. w tym, że banki mogły zażądać od nich wszelkich informacji związanych z ich sytuacją i… 21.03.2019 Tekst Poradnik RODO na tacy. Odcinek I: Na początku było zaufanie Danych przetwarzanych na serwerach i w komercyjnych bazach nie widać gołym okiem. Łatwo stracić poczucie, że one tam naprawdę krążą. Jeszcze trudniej wyobrazić sobie, co dokładnie wiedzą o nas te wszystkie aplikacje mobilne, platformy internetowe i współpracujący z nimi brokerzy danych. Jaki profil… 31.01.2018 Tekst Artykuł Niepewne losy ePrivacy W piątek Rada Unii Europejskiej odrzuciła projekt rozporządzenia ePrivacy wypracowany przez fińską prezydencję. W efekcie użytkownicy dłużej poczekają na reformę odpowiadającą na palące problemy związane z wykorzystywaniem śledzących technologii. 25.11.2019 Tekst