Ochrona danych pracowników. Zmiany 2019
RODO Jak przygotować się do kontroli
RODO 2019. Plusy i minusy zmian od 4 majaNie jest tajemnicą, że przy ocenie zdolności kredytowej banki używają tzw. modeli scoringowych. Jest to narzędzie statystyczne, które jest wykorzystywane m.in. do oceny zdolności kredytowej klienta. Narzędzie to służy automatyzacji procesu udzielania kredytów, pozwalając bankom na zaoszczędzenie czasu i pieniędzy, które w innym wypadku musiałyby zostać przeznaczone na wypłaty dla analityków i doradców kredytowych.
Ustawodawca europejski, zdając sobie sprawę ze stopnia zaawansowania narzędzi stosowanych obecnie przez instytucje finansowe (ale nie tylko), powyższą kwestię uregulował w art. 22 ust. 1 RODO, stanowiącym że: Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
reklama
reklama
Decyzje dotyczące udzielenia, bądź odmowy udzielenia kredytu, które zostały podjęte wyłącznie w oparciu o zautomatyzowane narzędzie scoringowe i bez udziału człowieka są decyzjami, o których mowa w tym przepisie.
Polecamy: INFORLEX Ekspert
Polecamy: INFORLEX Biznes
Powołany wyżej przepis nie wprowadza jednak bezwzględnego zakazu podlegania takim decyzjom przez osoby, których dane dotyczą. RODO pozwala na ich podejmowanie jeżeli są one dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Polski ustawodawca zdecydował o wprowadzeniu do porządku prawnego przepisu, który stanowi podstawę prawną przetwarzania danych przez banki wyłącznie w sposób zautomatyzowany (a precyzyjniej podejmowania decyzji w oparciu o takie przetwarzanie) i który nie wymaga dodatkowej zgody osoby, której dane mają takiemu przetwarzaniu podlegać.
W nowo dodanym art. 105a Prawa bankowego ustawodawca wprost przyznaje bankom oraz innym instytucjom wymienionym w tym przepisie, prawo do opierania się wyłącznie o zautomatyzowane przetwarzanie danych, w tym profilowanie, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Warunkiem dopuszczalności takiego przetwarzania jest zapewnienie osobie, której dane dotyczą prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.
Pierwotny projekt ustawy wprowadzał zamknięty katalog danych, w oparciu o które bank mógł podejmować takie decyzje. Rezygnację z takiego brzmienia przepisu należy uznać za rozsądną i lepiej wpisującą się w filozofię RODO. Banki i inne instytucje finansowe powinny każdorazowo przeanalizować czy ich model scoringowy spełnia główne zasady RODO tj. czy dane wykorzystywane w modelu są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Równocześnie takie sformułowanie przepisu nie zamyka bankom drogi do aktualizacji i możliwości poprawiania stosowanych przez siebie rozwiązań na dynamicznym rynku produktów finansowych.
Kontroli tego czy modele stosowane przez banki spełniają powyższe zasady mają służyć m.in. wspomniane już wcześniej wyjaśnienia. W poprzednim brzmieniu ustawy takie uprawnienie przysługiwało jedynie przedsiębiorcom. Obecnie, zarówno osoba fizyczna, prawna lub jednostka organizacyjna, ma prawo ubiegać się o udzielenie wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej. Wyjaśnienie powinno zostać sporządzone w formie pisemnej i co do zasady nie będzie ono podlegać opłacie. Możliwość uzyskania takiego wyjaśnienia, w połączeniu z prawem do uzyskania interwencji człowieka wobec podjętej decyzji, pomoże wyeliminować sytuacje, w której osoba posiadająca odpowiednie środki finansowe oraz zabezpieczenia, uzyskuje negatywną ocenę swojej zdolności kredytowej w oparciu o jeden tylko czynnik, którym może być przykładowo wykonywanie zawodu artysty czy robienie zakupów wybranych towarów o nietypowych porach dnia.
Powyższe zmiany należy co do zasady uznać za pozytywne, a samą implemetację rozwiązań RODO do polskiego porządku prawnego za trafną. Wydaje się jednak, że aby nowe przepisy nie pozostały „martwe”, najważniejsze jest zaszczepienie powszechnej świadomości o przysługujących klientom banków i podobnych instytucji uprawnieniach. Dobrą praktyką byłoby przekazywanie informacji w treści samych klauzul informacyjnych. Wydaje się to tym bardziej oczywiste, że banki uznawane są przecież za instytucje zaufania publicznego.
Ewa Banaszewska, Aplikant radcowski
Rachelski i Wspólnicy Kancelaria Prawna Spółka Komandytowa
