Ponad 40 proc. Polaków ma kredyt. Dotychczas w relacji z bankiem stawali oni w roli petentów, którzy – starając się o potrzebne środki – byli na gorszej pozycji. Przejawiało się to m.in. tym, że banki mogły zażądać od nich wszelkich informacji związanych z ich sytuacją i celem kredytu oraz pozyskiwać dane z innych źródeł. Poza ogólnymi zasadami ochrony danych osobowych nie było żadnych ograniczeń.
W efekcie osoba, której bank odmówił kredytu, mogła tylko zgadywać, co było problemem – wysokość zarobków, rodzaj umowy, niespłacone na czas zobowiązania. Dzięki zmianom w prawie bankowym, o które walczyła Fundacja Panoptykon, to się zmieni: klient będzie mógł sprawdzić, co zdecydowało o ocenie jego zdolności kredytowej.
Parlament kończy prace nad RODO sektorowym. To ustawa dostosowująca do obowiązującego już od roku unijnego rozporządzenia ponad 160 aktów prawnych, m.in. ustawę – Prawo bankowe. W pierwotnej wersji Ministerstwo Cyfryzacji zaproponowało przepis, który umożliwiał bankom automatyczne podejmowanie decyzji kredytowych (bez uzyskiwania zgody klienta). Żeby zabezpieczyć prawa podmiotów danych (zgodnie z logiką RODO, które uznaje automatyczne podejmowanie decyzji za ryzykowny proces), resort przewidział dwie gwarancje: zamknięty katalog danych, które mogą być podstawą takiej decyzji; oraz uprawnienie klienta do zakwestionowania automatycznego rozstrzygnięcia i uzyskania ludzkiej interwencji.

Spór o zamknięty katalog danych

Ta propozycja wzbudziła kontrowersje wśród bankowców obawiających się usztywnienia procesu oceny zdolności kredytowej. W ocenie Fundacji Panoptykon zamknięty katalog danych, na jakich banki mogłyby się opierać przy podejmowaniu automatycznych decyzji, nie dawał wiele klientom obawiającym się błędów lub nadużyć w procesie oceny zdolności kredytowej.
Po pierwsze, poszczególne kategorie danych, które pojawiły się w rządowym projekcie, były na tyle szerokie, że dawały bankom duże pole do interpretacji (m.in. nieprecyzyjne sformułowanie „sytuacja finansowa”). Po drugie, zamknięty katalog nie wykluczał sięgania po informacje ze źródeł innych niż wniosek kredytowy i dane od instytucji finansowych (np. Facebook). Wreszcie te ograniczenia miały dotyczyć wyłącznie decyzji podejmowanych w sposób automatyczny oraz na podstawie przepisów prawa (a nie np. na podstawie zgody klienta czy niezbędności do zawarcia umowy). Biorąc pod uwagę te czynniki, zamknięty katalog danych – pomyślany jako ograniczenie w procesie oceny zdolności kredytowej – miałby bardzo wąski zakres zastosowania.
W toku dalszych prac rząd utrzymał drugą gwarancję (możliwość zakwestionowania automatycznie podjętej decyzji), ale zrezygnował z zamkniętego katalogu danych. Ustawa określiła przykładowe dane, które mogą być wykorzystywane przy automatycznym podejmowaniu decyzji, oraz powtórzyła ogólną zasadę, zgodnie z którą banki mogą sięgać tylko po informacje niezbędne ze względu na cel i rodzaj kredytu. Jak zauważył dr Paweł Litwiński „oznacza to tyle, że banki będą mogły wykorzystywać do oceny zdolności kredytowej takie dane, które spełniają ogólną regułę minimalizacji wynikającą z art. 5 RODO”.

Standard wyższy niż RODO

Jednocześnie udało się wprowadzić nową gwarancję, o wiele ważniejszą z perspektywy kredytobiorcy: zgodnie z dodawanym do prawa bankowego art. 70a konsument będzie mógł uzyskać „informacje na temat czynników, w tym danych osobowych, które miały wpływ na dokonaną ocenę zdolności kredytowej”. To uprawnienie przysługuje konsumentowi bez względu na to, czy decyzja kredytowa została podjęta w sposób automatyczny oraz bez względu na jej treść.
To precedens na skalę europejską, bo w żadnym kraju – jak dotąd – nie udało się wyjść poza standard, którego wymaga RODO, czyli gwarancji przejrzystości ograniczonych do decyzji podejmowanych w sposób automatyczny. W przypadku decyzji kredytowych granica między rozstrzygnięciem algorytmu analizującego dane a ostateczną oceną, której dokonuje analityk, bywa nieostra. Trudno stwierdzić, w ilu przypadkach na sto analityk jest w stanie (ze względu na czas czy kompetencje) krytycznie ocenić to, co ustalił system.
Co więcej, bez względu na stopień zaangażowania człowieka, decyzja kredytowa jest oparta na zaawansowanej analizie danych osobowych i profilowaniu klientów. Z tej perspektywy rozciągnięcie prawa do wyjaśnienia na wszystkie decyzje, które opierają się na profilowaniu i wykorzystaniu big data, jest bardzo dobrym rozwiązaniem. Za przyznaniem konsumentom prawa do wyjaśnienia każdej decyzji kredytowej – nie tylko podjętej w sposób automatyczny – przemawia też to, że przedsiębiorcy mają już takie uprawnienie od kilku lat.

Co się znajdzie w wyjaśnieniu oceny

Prawo do wyjaśnienia obejmuje czynniki – w tym dane osobowe – które miały wpływ na ocenę zdolności kredytowej. Bank nie musi podawać pełnej listy czynników, które brał pod uwagę, ale musi ujawnić te, które miały wpływ na ostateczne rozstrzygnięcie. Przykładowe wyjaśnienie może brzmieć następująco:
„Na negatywny wynik oceny zdolności kredytowej wpłynęły następujące czynniki: forma zatrudnienia (umowa o pracę na czas określony); rodzaj wykonywanej pracy (prace dorywcze); wysokość uzyskiwanych dochodów w połączeniu z liczbą osób pozostających na utrzymaniu (deklarowane utrzymanie w gospodarstwie domowym dwojga dzieci i jednego rodzica); potwierdzone w bazie danych Biura Informacji Kredytowej opóźnienie w spłacie innego kredytu powyżej 60 dni oraz stwierdzony niedozwolony debet na rachunku oszczędnościowo-rozliczeniowym”.
Kluczowe znaczenie, z perspektywy klientów, będzie miało wskazanie konkretnych danych, na podstawie których została dokonana ocena zdolności kredytowej. Nie wystarczy zatem wskazanie, że podstawą negatywnej oceny była, na przykład, wysokość dochodów. Bank będzie musiał ujawnić to, jaką wysokość dochodów wziął pod uwagę w swojej analizie. W ten sposób pojawia się pole do dialogu i szansa na skorygowanie błędów (np. zwrócenie uwagi na zgubione zero w wysokości zarobków albo sprostowanie nieaktualnego raportu z biura informacji kredytowej). W dłuższej perspektywie to także cenna wskazówka dla tych klientów, którzy chcą zwiększyć swoją wiarygodność w oczach banków. Uzyskane informacje mogą stać się impulsem do terminowego spłacania zobowiązań albo starania o inną formę zatrudnienia.

Przełożenie prawa na praktykę bankową

Nowe przepisy niewątpliwie wzmocnią pozycję klienta wobec banku. W stosunku do każdej decyzji kredytowej wydanej w zautomatyzowany sposób będzie miał on prawo żądania wyjaśnień, wyrażenia własnego stanowiska i uzyskania interwencji ludzkiej. Natomiast w stosunku do każdej decyzji wydanej z udziałem pracownika banku klient będzie mógł zażądać wyjaśnienia obejmującego konkretne dane osobowe, które miały wpływ na ostateczne rozstrzygnięcie. To dwie niezależne procedury gwarantujące wysoki standard przejrzystości i ochrony danych.
Bez względu na to, czy klienci skorzystają ze swojego prawa do wyjaśnienia, Urząd Ochrony Danych Osobowych będzie weryfikował, jak banki dostosowały procedury do RODO. Kontrole w sektorze bankowym i ubezpieczeniowym znalazły się w planie na 2019 r., a problem przejrzystości profilowania oraz automatycznego podejmowania decyzji w oparciu o dane osobowe jest wysoko na liście priorytetów urzędu.
Jak te procedury zaprojektować, żeby miały sens i realne znaczenie dla klientów? W myśl Wytycznych nr 251 Grupy Roboczej art. 29 – banki powinny „znaleźć prosty sposób na przedstawienie osobie, której dane dotyczą, uzasadnienia decyzji lub kryteriów, które doprowadziły do jej podjęcia”. Liczymy na to, że standard przejrzystości i dobre praktyki pokazujące, jak odpowiadać na wnioski kredytobiorców, zostaną doprecyzowane w kodeksie postępowania, nad którym pracuje Związek Banków Polskich, a którego kolejna wersja niebawem trafi do prezesa UODO.
Nowe prawo do wyjaśnienia obejmuje nie tylko dane osobowe, ale także inne czynniki, które miały wpływ na decyzję banku. Realny standard przejrzystości wyznaczy tu orzecznictwo sądów. Nowe przepisy dają szansę na skontrolowanie tego, jak działają algorytmy wykorzystywane w procesie oceny zdolności kredytowej. Nie poznamy ich logiki, którą banki traktują jako tajemnicę przedsiębiorstwa, ale – na bazie przypadków konkretnych osób – będziemy w stanie sprawdzić, jakie dane (nie tylko osobowe) do systemu weszły i jakie z niego wyszły, w formie ostatecznie dokonanej oceny. To dobry punkt wyjścia do dyskusji na temat modeli i założeń, na jakich opiera się działanie algorytmów, w szczególności ich potencjału do dyskryminacji niektórych kategorii klientów (np. samotnych matek, osób zatrudnionych na umowach śmieciowych czy cudzoziemców).