Artykuł 21.03.2019 9 min. czytania Tekst Image Ponad 40% Polaków ma kredyt w banku. Dotychczas w relacji z bankiem stawali oni w roli petentów, którzy – starając się o środki, których potrzebują – naturalnie byli w gorszej pozycji. Przejawiało się to m.in. w tym, że banki mogły zażądać od nich wszelkich informacji związanych z ich sytuacją i celem kredytu, jak również pozyskiwać informacje z innych źródeł. Poza ogólnymi zasadami ochrony danych osobowych nie było w tym zakresie żadnych ograniczeń. W efekcie klient, któremu bank odmówił kredytu, mógł tylko zgadywać, co było problemem – wysokość zarobków, rodzaj umowy, a może niespłacone na czas zobowiązania? Dzięki zmianom w prawie bankowym, o które walczyła Fundacja Panoptykon, to się zmieni: klient będzie mógł sprawdzić, co zdecydowało o ocenie jego zdolności kredytowej.Parlament kończy właśnie prace nad tzw. RODO sektorowym. To ustawa dostosowująca do obowiązującego już niemal od roku RODO ponad 160 aktów prawnych, m.in. prawo bankowe. W pierwotnej wersji projektu Ministerstwo Cyfryzacji zaproponowało przepis, który umożliwiał bankom automatyczne podejmowanie decyzji kredytowych (bez konieczności uzyskiwania zgody klienta). Żeby zabezpieczyć prawa podmiotów danych (zgodnie z logiką RODO, które uznaje automatyczne podejmowanie decyzji za ryzykowny proces), Ministerstwo zaproponowało dwie gwarancje: zamknięty katalog danych, które mogą być podstawą takiej decyzji, oraz uprawnienie klienta do zakwestionowania automatycznego rozstrzygnięcia i uzyskania ludzkiej interwencji.Spór o zamknięty katalog danychTa propozycja wzbudziła kontrowersje wśród bankowców, obawiających się usztywnienia procesu oceny zdolności kredytowej. W ocenie Fundacji Panoptykon zamknięty katalog danych, na jakich banki mogłyby się opierać przy podejmowaniu automatycznych decyzji, nie dawał wiele klientom obawiającym się błędów lub nadużyć w procesie oceny zdolności kredytowej.Po pierwsze, poszczególne kategorie danych, które pojawiły się w rządowym projekcie, były na tyle szerokie, że dawały bankom duże pole do interpretacji (m.in. nieprecyzyjne sformułowanie „sytuacja finansowa”). Po drugie, zamknięty katalog nie wykluczał sięgania po informacje ze źródeł innych niż wniosek kredytowy i dane od instytucji finansowych (np. Facebook). Wreszcie – te ograniczenia miały dotyczyć wyłącznie decyzji podejmowanych w sposób automatyczny oraz w oparciu o przepis prawa (a nie np. na podstawie zgody klienta czy niezbędności do zawarcia umowy). Biorąc pod uwagę te czynniki, zamknięty katalog danych – pomyślany jako ograniczenie w procesie oceny zdolności kredytowej – miałby bardzo wąski zakres zastosowania.W toku dalszych prac rząd utrzymał drugą gwarancję (możliwość zakwestionowania automatycznie podjętej decyzji), ale zrezygnował z zamkniętego katalogu danych. Ustawa określiła przykładowe dane, które mogą być wykorzystywane przy automatycznym podejmowaniu decyzji, oraz powtórzyła ogólną zasadę, zgodnie z którą banki mogą sięgać tylko po dane niezbędne ze względu na cel i rodzaj kredytu. Jak zauważył dr Paweł Litwiński „oznacza to tyle, że banki będą mogły wykorzystywać do oceny zdolności kredytowej takie dane, które spełniają ogólną regułę minimalizacji wynikającą z art. 5 RODO”.Standard wyższy niż RODOJednocześnie udało się wprowadzić nową gwarancję, o wiele ważniejszą z perspektywy kredytobiorcy: zgodnie z dodawanym do prawa bankowego art. 70a konsument będzie mógł uzyskać „informacje na temat czynników, w tym danych osobowych, które miały wpływ na dokonaną ocenę zdolności kredytowej”. To uprawnienie przysługuje konsumentowi bez względu na to, czy decyzja kredytowe została podjęta w sposób automatyczny, oraz bez względu na jej treść.Konsument będzie mógł uzyskać „informacje na temat czynników, w tym danych osobowych, które miały wpływ na dokonaną ocenę zdolności kredytowej”.To precedens na skalę europejską, bo w żadnym kraju – jak dotąd – nie udało się wyjść poza standard, którego wymaga RODO, czyli gwarancji przejrzystości ograniczonych do decyzji podejmowanych w sposób automatyczny. W przypadku decyzji kredytowych granica między rozstrzygnięciem algorytmu analizującego dane a ostateczną oceną, której dokonuje analityk, bywa nieostra. Trudno stwierdzić, w ilu przypadkach na sto analityk jest w stanie (ze względu na czas czy kompetencje) krytycznie ocenić to, co „wypluł” system.Co więcej: bez względu na stopień zaangażowania człowieka decyzja kredytowa jest oparta na zaawansowanej analizie danych osobowych i profilowaniu klientów. Z tej perspektywy rozciągnięcie prawa do wyjaśnienia na wszystkie decyzje, które opierają się na profilowaniu i wykorzystaniu tzw. big data, jest bardzo dobrym rozwiązaniem. Za przyznaniem konsumentom prawa do wyjaśnienia każdej decyzji kredytowej – nie tylko podjętej w sposób automatyczny – przemawia też to, że przedsiębiorcy mają już takie uprawnienie od kilku lat. Dlaczego Kowalski bez firmy ma być w gorszej sytuacji niż przedsiębiorca?Co się znajdzie w wyjaśnieniu oceny zdolności kredytowej?Prawo do wyjaśnienia obejmuje czynniki – w tym dane osobowe – które miały wpływ na ocenę zdolności kredytowej. A zatem bank nie musi podawać pełnej listy czynników, które brał pod uwagę w tym procesie, ale musi ujawnić wszystkie, które miały wpływ na ostateczne rozstrzygnięcie. Przykładowe wyjaśnienie może brzmieć następująco:„Na negatywny wynik oceny zdolności kredytowej wpłynęły następujące czynniki: forma zatrudnienia (umowa o pracę na czas określony); rodzaj wykonywanej pracy (prace dorywcze); wysokość uzyskiwanych dochodów w połączeniu z liczbą osób pozostających na utrzymaniu (deklarowane utrzymanie w gospodarstwie domowym dwojga dzieci i jednego rodzica); potwierdzone w bazie danych Biura Informacji Kredytowej opóźnienie w spłacie innego kredytu powyżej 60 dni oraz stwierdzony niedozwolony debet na rachunku oszczędnościowo-rozliczeniowym”.Kluczowe znaczenie z perspektywy klientów będzie miało wskazanie konkretnych danych, na podstawie których została dokonana ocena zdolności kredytowej. Nie wystarczy zatem wskazanie, że podstawą negatywnej oceny była na przykład wysokość dochodów. Bank będzie musiał ujawnić to, jaką wysokość dochodów wziął pod uwagę w swojej analizie. W ten sposób pojawia się pole do dialogu i szansa na skorygowanie błędów (np. zwrócenie uwagi na zgubione zero w wysokości zarobków albo sprostowanie nieaktualnego raportu z Biura Informacji Kredytowej). W dłuższej perspektywie to także cenna wskazówka dla tych klientów, którzy chcą zwiększyć swoją wiarygodność w oczach banków. Uzyskane informacje mogą stać się impulsem do terminowego spłacania zobowiązań albo starania o inną formę zatrudnienia.Przełożenie prawa na praktykę bankowąNowe przepisy niewątpliwie wzmocnią pozycję klienta wobec banku. W stosunku do każdej decyzji kredytowej wydanej w zautomatyzowany sposób będzie miał on prawo żądania wyjaśnień („co do podstaw podjętej decyzji”), wyrażenia własnego stanowiska i uzyskania interwencji ludzkiej. Natomiast w stosunku do każdej decyzji wydanej z udziałem pracownika banku klient będzie mógł zażądać wyjaśnienia obejmującego konkretne dane osobowe, które miały wpływ na ostateczne rozstrzygnięcie. To dwie niezależne procedury, gwarantujące wysoki standard przejrzystości i ochrony danych.Nowe przepisy wzmocnią pozycję klienta wobec banku.Bez względu na to, czy klienci skorzystają ze swojego prawa do wyjaśnienia, Urząd Ochrony Danych Osobowych będzie weryfikować, jak banki dostosowały swoje procedury do RODO. Kontrole w sektorze bankowym i ubezpieczeniowym znalazły się w planie na rok 2019, a problem przejrzystości profilowania oraz automatycznego podejmowania decyzji w oparciu o dane osobowe jest wysoko na liście priorytetów urzędu.Jak te procedury zaprojektować, żeby miały sens i realne znaczenie dla klientów? W myśl Wytycznych nr 251 Grupy Roboczej art. 29 banki powinny „znaleźć prosty sposób na przedstawienie osobie, której dane dotyczą, uzasadnienia decyzji lub kryteriów, które doprowadziły do jej podjęcia”. Liczymy na to, że standard przejrzystości i dobre praktyki pokazujące, jak odpowiadać na wnioski kredytobiorców o wyjaśnienie wydawanych w ich sprawach decyzji, zostaną doprecyzowane w kodeksie postępowania, nad którym pracuje Związek Banków Polskich, a którego kolejna wersja niebawem trafi do Prezesa UODO.Nowe prawo do wyjaśnienia obejmuje nie tylko „dane osobowe”, ale także inne „czynniki”, które miały wpływ na podjętą przez bank decyzję. W tym zakresie realny standard przejrzystości wyznaczy orzecznictwo sądów. Nowe przepisy dają szansę na skontrolowanie tego, jak działają algorytmy wykorzystywane w procesie oceny zdolności kredytowej. Nie poznamy ich logiki, którą banki traktują jako tajemnicę przedsiębiorstwa, ale – na bazie przypadków konkretnych osób – będziemy w stanie sprawdzić, jakie dane (nie tylko osobowe) do systemu weszły i jakie z niego wyszły, w formie ostatecznie dokonanej oceny. To dobry punkt wyjścia do dyskusji na temat modeli i założeń, na jakich opiera się działanie algorytmów, w szczególności ich potencjału do dyskryminacji niektórych kategorii klientów (np. samotnych matek, osób zatrudnionych na tzw. umowach śmieciowych, cudzoziemców).Wojciech Klicki, Katarzyna Szymielewicz* tekst ukazał się 19 marca 2019 r. w Dzienniku Gazecie PrawnejPosłuchaj odcinka podcastu Panoptykon 4.0: Co wie o Tobie bank?Dowiedz się więcej o tym, jak RODO wpływa na scoring.Od niemal 10 lat Fundacja Panoptykon walczy o wzmocnienie praw jednostki w walce z korporacjami. Wesprzyj nas w tej walce! Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż 1,5% podatku (KRS: 0000327613) Wojciech Klicki Autor Temat banki i finanse reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Kto może zajrzeć do Twojego e-PIT-a? W przededniu uruchomienia usługi Twój e-PIT Ministerstwo Finansów ostrzegało przed oszustami próbującymi nabrać podatników na płatny dostęp do usługi Twój e-PIT. Jak się jednak szybko okazało, samo niedostatecznie go zabezpieczyło: jedna z opcji logowania umożliwia dostęp do danych podatników… 20.02.2019 Tekst Podcast RODO vs sztuczna inteligencja. Rozmowa z Aleksandrą Przegalińską Do dnia zero – 25 maja – zostało tylko kilka dni. To wtedy zacznie w pełni obowiązywać RODO (rozporządzenie o ochronie danych osobowych), które – w niektórych kręgach – ma wyjątkowo złą prasę. Czy słusznie? 18.05.2018 Dźwięk Artykuł RODO w Panoptykonie – bez większych zmian Od jutra (25 maja) zacznie być w pełni stosowane europejskie rozporządzenie o ochronie danych osobowych (RODO). Z perspektywy Panoptykonu – który powstał po to, by chronić prawa i wolności ludzi w zetknięciu z praktykami nadzoru i wszechobecnym gromadzeniem danych – to dobra, długo wyczekiwana… 24.05.2018 Tekst