# Wstęp
Od ponad kilku tygodni trwa dyskusja związana z wprowadzeniem do prawa bankowego ograniczeń w zakresie modelu scoringowego przy automatycznej weryfikacji zdolności kredytowej klientów i analizy ryzyka kredytowego.
# Kogo ma dotyczyć ograniczenie scoringowe
Regulacja ma znaleźć się w prawie bankowym (art. 105 ust. 1a i 1b prawa bankowego) i obejmować „Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe”. Czyli na pewno ma dotyczyć banków i instytucji pożyczkowych. Taka konstrukcja ogranicza faktorów bankowych (ta sama spółka akcyjna z departamentem/wydziałem faktoringowym) – dając przewagę faktorom w postaci osobnych podmiotów nie bankowych, w tym spółek-córek, spółek niepowiązanych, finetechów itp. Te podmioty nadal mogą rozwijać swoje modele scoringowe, a przynajmniej projekt zmian w obecnym brzmieniu ich w tym nie ogranicza.
# Stan prac
Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO (druk nr 3050) jest na etapie zakończenia prac w komisji po I czytaniu. Status prac można śledzić tutaj. Podkomisja nadzwyczajna opublikowała kilka dni temu swoje sprawozdanie z dnia 18.01.2019 r. licząc 231 stron, będące de facto powtórzeniem treści projektu. Aktywnie swoje uwagi do projektów zgłaszali m.in. Związek Banków Polskich (ZBP) oraz Polski Związek Instytucji Pożyczkowych (PZIP) – niewątpliwie 2 zrzeszenia najbardziej zainteresowane losem prac.
# Czego dotyczą ograniczenia
Przepisy mają ograniczyć możliwość oceny zdolności kredytowej i analizy ryzyka kredytowego osoby fizycznej wyłącznie do następujących kategorii danych:
– dot. osoby fizycznej: imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, wiek, płeć, obywatelstwo, stan cywilny, seria i nr DO lub innego dok. potw. tożsamość, PESEL, NIP, adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu, adres do korespondencji, tytuł prawny do zajmowanego lokalu, miejsce pracy, zawód, wykształcenie, forma zatrudnienia, sytuacja finansowa, w tym dochody i wydatki, liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków;
– dot. zobowiązania: źródło zobowiązania, kwota i walutę, nr i stan rachunku bankowego, nazwa i adres kredytodawcy, datę powstania zobowiązania, warunki spłaty zobowiązania, ustanowione zabezpieczenia prawne, przebieg realizacji zobowiązania, stan zadłużenia z tytułu zobowiązania, data wygaśnięcia zobowiązania, przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, przyczyny wygaśnięcia zobowiązania.
# W czym mogą ograniczać przepisy
W rozwoju i stosowaniu systemów scoringowych, które umożliwiają analizę danych nieobjętych ww. zamkniętą listą tj. np. danych behawioralnych na podstawie śladów, jakie ludzie zostawiają w Internecie (wpisy, komentarze, opinie na goWork, wulgaryzmy i hejt w Internecie, zdjęcia itp.) albo informacji z ich urządzeń posiadających funkcję geolokalizacji (np. częste wyjazdy w niebezpieczne miejsca, uprawianie sportów ekstremalnych, udział w wyścigach), jak również danych dot. stanu zdrowia, czy też uprzedniego skazania wyrokami karnymi, czy danych z kont bankowych (np. zakupy w klubach nocnych, sklepach monopolowych itp.). Pozyskana zgoda na takie profilowanie i automatyczne podejmowanie decyzji w świetle nowych przepisów będzie nieważna.
# Kwestia komunikowania odmowy udzielenia finansowania
Kolejnym problemem wynikającym z projektowanej regulacji jest de facto rozszerzenie zakresu art. 22 RODO poprzez zapewnienie „osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.” To z kolei będzie wiązało się z koniecznością ujawnienia przynajmniej częściowo stosowanego modelu scoringowego stanowiącego tajemnicę przedsiębiorstwa banku/instytucji pożyczkowej. Ta dbałość o uprawnienia osoby fizycznej może być bolesna – gdy taka osoba wykorzysta zdobytą wiedzę w celu np. usiłowania wyłudzenia finansowania. Ponadto nie trudno wyobrazić sobie możliwość pozyskania wiedzy o modelu scoringowym stosowanym prze konkurencję poprzez podstawioną osobę.
W ocenie ZBP projektowany art. 105a ust. 1a Prawa bankowego jest w tym zakresie niezgodny z RODO, ponieważ zgodnie z art. 22 ust. 3 RODO prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu – nie znajduje zastosowania w sytuacji, gdy uprawnienie do wydawania zautomatyzowanych decyzji wynika wprost z przepisu prawa Unii Europejskiej lub Państwa Członkowskiego (czyli w tym przypadku właśnie wprowadzanego art. 105a ust. 1a Prawa bankowego). ZBP wskazuje również, iż „właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”, o których mowa w przesłance oparcia profilowania na przepisie prawa (art. 22 ust. 2 lit. b RODO), wynikają wprost z obecnie obowiązujących przepisów Prawa bankowego.
# A gdyby tak nie robić wszystkiego automatycznie
Zgodnie z projektowanym art. 105a ust. 1a Prawa bankowego Banki i instytucje pożyczkowe mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych, a zgodnie z projektowanym art. 105a ust. 1b Prawa bankowego decyzje te mogą być podejmowane wyłącznie w oparciu o następujące kategorie danych (…). Pytanie zatem czy wprowadzenie czynnika ludzkiego (choćby w postaci formalnej pisemnej decyzji kredytowej/pożyczkowej/faktoringowej) działu ryzyka nie rozwiąże problemu i wyłączy podmiot spod ograniczeń. To jest już zagadnienie dla działów prawnych tych podmiotów, które niewątpliwie będą zmuszone rozważyć potencjalne sankcje na skutek ewentualnej kontroli PUODO. Niewątpliwie w przypadku banków, czy też finansowania pożyczkowego na dużą skalę czynnik ludzki i tak jest niezbędny. Problem pojawia się jedynie w przypadku mikrofaktoringu bankowego oraz mikropożyczek – tutaj z założenia część podmiotów dąży wszakże do pełnej automatyzacji procesu oceny ryzyka. I właśnie te podmioty mogą mieć największy problem z nowymi przepisami.
Będę informował o postępie prac w ramach newsów na blogu. Miejmy nadzieję że końcowy projekt Ustawy ulegnie zmianie.
EDIT (12.02.2019 r.). Dobra informacja. Za sprawą najnowszej poprawki słowo „wyłącznie” zostało zamienione na „w szczególności”. Zatem banki, faktorzy bankowi i instytucje pożyczkowe będą mogły oceniać zdolność kredytową także na podstawie innych kryteriów – bez ograniczeń i zamkniętej listy kryteriów wskazanych w ww. artykule. Przedstawione w prawie bankowym kryteria będą zatem traktowane jako przykładowe. Niestety na wniosek klienta (osoby fizycznej – prawdopodobnie chodzi tutaj o konsumenta) będą zmuszone ujawnić, jakie konkretnie informacje zostały wzięte pod uwagę. Obowiązek ten ma dotyczyć zarówno sytuacji, gdy decyzja została podjęta w pełni zautomatyzowanym procesie, jak i wówczas, gdy w jej podejmowaniu brał udział także człowiek. Te zmiana jest efektem zaangażowania w proces konsultacji Fundacji Panoptykon. Instytucja finansowa nie będzie mogła pobierać opłat za przekazywanie tych wyjaśnień.Z omawianych w ww. artykule problemów aktualny pozostaje zatem problem ujawniania „know-how” instytucji finansowej dokonującej analizy zdolności kredytowej, ale jeśli opcja ta zostanie ograniczona do konsumenta – wówczas nie dotknie branży faktoringowej. Poczekajmy zatem na ostateczne brzmienie projektu Ustawy.