Do weryfikacji zdolności kredytowej klientów już dawno przestały bankom wystarczać zaświadczenia o zarobkach, dane o zaciągniętych zobowiązaniach czy stan cywilny. Od lat do oceny wykorzystywane są komputery i specjalne algorytmy przetwarzające wiele różnych danych. Oczywiście banki chronią informacje na temat tego, co analizują ich komputery. Nieoficjalnie mówi się, że pod uwagę branych jest kilkaset, a nawet tysiące zmiennych.

W tej sytuacji klient może odejść z kwitkiem i nie dowie się nawet, dlaczego komputer ocenił go jako niewiarygodnego. Dlatego też ustawodawca unijny postanowił uregulować zasady profilowania. Zgodnie z rozporządzeniem 2016/679 o ochronie danych osobowych (RODO) jest ono dopuszczalne albo za zgodą klienta, albo też kiedy jest niezbędne do zawarcia lub wykonania umowy. Ostatnią możliwością jest dopuszczenie profilowania wprost w przepisach krajowych. I właśnie z tej możliwości postanowiło skorzystać Ministerstwo Cyfryzacji w projekcie ustawy wprowadzającej ustawę o ochronie danych osobowych.

– Projekt przewiduje dopuszczenie profilowania na potrzeby badania oceny zdolności kredytowej na poziomie ustawy. A to oznacza, że przestaje się liczyć kryterium niezbędności profilowania, o którym mówi RODO. Mówiąc wprost – nikt nie będzie mógł zakwestionować profilowania w wykonaniu banku ani kryteriów, na podstawie których to się odbywa. Nawet Urząd Ochrony Danych Osobowych nie będzie mógł podważyć niezbędności profilowania, skoro będzie ono dopuszczone z mocy samej ustawy – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.

Co pijesz i z kim śpisz

Dlaczego to niebezpieczne? Algorytmy banków mogą brać pod uwagę choćby to, czy w niedzielę klient płacił kartą w sklepie z alkoholem. To jednak nie koniec. Na podstawie historii zakupów są w stanie określić, że w niedługim czasie grozi mu rozwód (to ważny czynnik, bo małżeństwa sumienniej spłacają kredyty). Jak to możliwe? Chociażby dzięki informacjom o tym, że wynajmuje pokoje w hotelu na jedną noc czy wysyła kwiaty pod inne adresy niż domowe (jeśli płaci za to kartą).

Gdy do tego dołoży się możliwość pozyskiwania danych na podstawie aktywności użytkownika w internecie, niekontrolowana możliwość profilowania zaczyna być groźna.

– Trudno oprzeć się wrażeniu, że banki uzyskają niezwykle szeroki, legalny i pełen dostęp do danych swoich klientów, co nie w każdym przypadku będzie mieć związek z ochroną prawa, a może wręcz prowadzić do inwigilacji i dyskryminacji. W oparciu o automatycznie podejmowane decyzje na podstawie swojej aktywności w sieci dana osoba może nie otrzymać kredytu albo otrzymać go na dużo mniej korzystnych warunkach, niż gdyby decyzja była podejmowana w normalnym trybie – podkreśla Magdalena Kot, radca prawny w kancelarii Lawmore.

Teoretycznie klient może poprosić o wskazanie mu zasad profilowania. W praktyce jednak otrzyma raczej ogólne informacje niż szczegółowe dane na temat wszystkich branych pod uwagę zmiennych. Nie dowie się więc, że wpływ na ocenę zdolności miało zbyt częste wynajmowanie pokoi w hotelach na pojedyncze noce czy też zakupy w monopolowym.

RODO gwarantuje prawo odwołania się od decyzji bezdusznego komputera i tego uprawnienia polskie przepisy nie znoszą. Klienci banków, którym odmówiono kredytu, będą więc mogli zażądać ponownej oceny ich zdolności przez człowieka (tzw. interwencja ludzka). Tyle że to uprawnienie także pozostanie iluzoryczne. Pracownik banku prawdopodobnie podtrzyma decyzję wynikającą z profilowania i nie będzie musiał tłumaczyć, dlaczego to zrobił.

– Nawet jeśli za dopuszczeniem w ustawie profilowania na potrzeby automatycznych decyzji przemawiają usprawiedliwione interesy przedsiębiorców, to warto, by przepisy były w tym zakresie precyzyjne. Mam na myśli chociażby wprowadzenie konkretnych przesłanek warunkujących możliwość profilowania przy ocenie zdolności kredytowej oraz transparentność tego procesu – mówi dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.

Troska o stabilność

Ekspertów niepokoi też inne wyłączenie spod przepisów RODO. Zgodnie z proponowanym art. 112e ustawy – Prawo bankowe (t.j. Dz.U. z 2016 r. poz. 1988 ze zm.) banki nie będą musiały informować klientów o wycieku ich danych, gdyby mogło to „spowodować naruszenie stabilności funkcjonowania sektora bankowego”. Jeśli bank uzna, że informacja np. o kradzieży numerów kart kredytowych mogłaby zagrozić stabilności rynku bankowego, to nie będzie musiał powiadamiać o tym zainteresowanych.

– W ten sposób projektowane przepisy w uprzywilejowanej sytuacji stawiają bank, przedkładając jego interes nad interesem klientów. Jest to sprzeczne z wytycznymi Grupy Roboczej Art. 29, która podkreśla potrzebę informowania właśnie przy realnych zagrożeniach dla osób, których dane dotyczą. A czymże innym jest możliwość kradzieży tożsamości czy nawet niebezpieczeństwo dla środków na rachunku bankowym, jeśli nie realnym zagrożeniem. W takich sytuacjach klient banku powinien być jak najszybciej informowany o incydencie, tak aby mógł także sam przeciwdziałać związanym z nim zagrożeniom – podkreśla dr Grzegorz Sibiga.

Podobne wyłączenie jest przewidziane dla małych i średnich firm, co tłumaczy się mniejszym zagrożeniem. Banki z natury rzeczy przetwarzają dane setek tysięcy, a często milionów klientów. Pozbawienie ich prawa do wiedzy o wycieku tłumaczy się koniecznością zachowania stabilności funkcjonowania całego sektora.

– Przepis ten sprawi, że bank w zasadzie nigdy nie będzie musiał zawiadamiać klientów o naruszeniu ochrony ich danych osobowych. Zdecydowana większość takich informacji może bowiem skutkować naruszeniem stabilności funkcjonowania sektora bankowego. Masowa utrata klientów, bardzo prawdopodobna w sytuacji poinformowania o dużym wycieku danych, może przecież być traktowana jako destabilizacja na rynku bankowym – zwraca uwagę dr Paweł Litwiński.

Nie udało nam się wczoraj uzyskać z Ministerstwa Cyfryzacji odpowiedzi na pytania o argumenty, które stoją za specjalnymi przywilejami dla banków.

Etap legislacyjny

Projekt skierowany na posiedzenie Komitetu Stałego Rady Ministrów