W dniu 4 maja 2019 r. weszła w życie, długo oczekiwana, ustawa zmieniająca szereg ustaw sektorowych, której celem było dostosowanie polskiego porządku prawnego do zmian wynikających z wejścia RODO do stosowania. W toku prac legislacyjnych szczególne kontrowersje budziły m.in. projektowane zmiany w prawie bankowym w zakresie przepisów dotyczących przetwarzania danych osobowych dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego.

Mowa o ustawie z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanej dalej „Ustawą Sektorową”. Obok uchwalenia nowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, uchwalenie Ustawy Sektorowej stanowi kontynuację działań polskiego ustawodawcy, które mają na celu zapewnienie skutecznego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”), a w niektórych przypadkach usunięcie przepisów, które są sprzeczne z RODO, lub które powielają rozwiązania w nim przyjęte. W sektorze finansowym zmiany wprowadzono m.in. w ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej jako „pr. bank.”).

Zmiany dotyczące przeprowadzania oceny zdolności kredytowej i analizy ryzyka kredytowego

W pierwszej kolejności należy zwrócić uwagę na przepisy, na podstawie których m.in. banki, SKOK-i, inne instytucje upoważnione do udzielania kredytów, instytucje pożyczkowe, czy Biuro Informacji Kredytowej, będą mogły podejmować decyzje, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, w procesie dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105 ust. 1a-1c pr. bank.). W praktyce oznacza to, że np. decyzja o udzieleniu kredytu lub pożyczki przez bank będzie mogła następować w sposób w pełni zautomatyzowany (bez ingerencji ludzkiej), na podstawie danych i informacji posiadanych przez bank, przy zastosowaniu odpowiednich algorytmów. Gdyby nie wprowadzono omawianych przepisów, banki oraz inne wymienione w tych przepisach instytucje musiałyby – przed dokonaniem oceny zdolności kredytowej opierającej się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych – pozyskać wyraźną zgodę osoby, ubiegającej się o kredyt lub pożyczkę (ewentualnie argumentować, że taka zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy, co w większości przypadków wydaje się trudne do obrony). Dzięki wprowadzonym przepisom, uprawnienie do dokonywania takiej oceny wynika obecnie bezpośrednio z przepisów prawa i nie istnieje potrzeba poszukiwania innej podstawy prawnej dla takich działań. Powyższe zmiany uwzględniają fakt, że polski rynek finansowy, w tym bankowy, jest jednym z najbardziej zaawansowanych technologicznie na tle innych państw Unii Europejskiej, a wprowadzone zmiany powinny wpływać pozytywnie na efektywność procesu badania i oceny ryzyka związanego z przyznaniem kredytu lub pożyczki.

Wprowadzenie ustawowego uprawnienia do podejmowania – w określonych przypadkach – decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, wynika z art. 22 ust. 2 lit. b RODO. Przepis ten wymaga jednocześnie aby prawo państwa członkowskiego, wprowadzające takie uprawnienie, przewidywało właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Do takich środków, przewidzianych w art. 105a ust. 1a pr. bank., należy zaliczyć obowiązek banków oraz innych instytucji wymienionych w tym przepisie, zapewnienia osobie, której dotyczy decyzja podejmowana w sposobów zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Warto zwrócić uwagę, że ochrona danych osobowych klientów banków, w tym danych pozyskanych na etapie badania zdolności kredytowej, zapewniona jest również w ramach przepisów o tajemnicy bankowej (art. 104 pr. bank.), której naruszenie skutkować może odpowiedzialnością administracyjną, cywilną oraz karną.

Zautomatyzowane decyzje w procesie dokonywania oceny zdolności kredytowej oraz analizy ryzyka kredytowego mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu – tak wprost stanowi dodany w Ustawie Sektorowej art. 105a ust. 1b pr. bank. Przepis ten jest spójny z zasadą minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO, zgodnie z którą przetwarzanie danych osobowych musi być adekwatne, stosowne i ograniczone do tego, co niezbędne dla celów, w których są przetwarzane. Rządowy projekt Ustawy Sektorowej, przygotowany przez Ministerstwo Cyfryzacji i przekazany pod obrady sejmu, zakładał wprowadzenie zamkniętego katalogu danych, w oparciu o które możliwe byłoby podejmowanie decyzji opierających się na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego. Takie rozwiązanie wywołało szeroki sprzeciw środowiska bankowego, z którego płynęły głosy, że jego przyjęcie prowadziłoby do naruszenia obecnie funkcjonujących, złożonych modeli scoringowych (punktowych) używanych dla celów ustalenia wiarygodności kredytowej wnioskujących o kredyt, które biorą pod uwagę również inne czynniki, poza wymienionymi wprost w katalogu ustawowym. Przyjęta ostatecznie wersja przepisów Ustawy Sektorowej określa przykładowy (otwarty) katalog danych, na podstawie których możliwe będzie podjęcie w pełni zautomatyzowanej decyzji dotyczącej przyznania kredytu. W każdym jednak przypadku kredytodawca powinien być w stanie wykazać, że dane przetwarzane dla celów oceny zdolności kredytowej oraz analizy ryzyka kredytowego są dla tego celu niezbędne, co powinno zapobiegać ich nadmiernemu wykorzystaniu. W ustawie określono również, że dla celów podejmowania zautomatyzowanych decyzji dotyczących przyznania kredytu nie mogą być przetwarzane szczególne kategorie danych, o których mowa w art. 9 RODO (tzw. dane wrażliwe), takie jak dane genetyczne, dane dotyczące zdrowia, dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne, czy światopoglądowe.

Niezależenie od tego, czy decyzja o udzieleniu kredytu jest podejmowana w sposób zautomatyzowany, czy przy udziale człowieka, banki oraz inne instytucje ustawowo upoważnione do udzielania kredytów, zobowiązane są, na wniosek podmiotu ubiegającego się o kredyt, przekazać mu w formie pisemnej wyjaśnienie dotyczące oceny jego zdolności kredytowej. Obowiązek ten wynika z wprowadzonego w Ustawie Sektorowej art. 70a pr. bank. Dotychczas możliwość uzyskania tego rodzaju wyjaśnień przysługiwała wyłącznie przedsiębiorcom (na podstawie uchylonych ust. 5 i 6 w art. 70 pr. bank.), a obecnie również konsumentom. Takie wyjaśnienia powinny zawierać informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W przypadku wnioskujących o kredyt, będących konsumentami, przekazanie wyjaśnień ma być bezpłatne, natomiast w przypadku przedsiębiorców, ewentualna opłata za sporządzenie wyjaśnień powinna być odpowiednia do wysokości kredytu.

Przetwarzanie danych osobowych na potrzeby tzw. systemów antyfraudowych

W wyniku wejścia w życie Ustawy Sektorowej zmianie uległo brzmienie art. 106d pr. bank., który dotyczy przetwarzania i udostępniania informacji, w ramach tzw. systemów antyfraudowych. Zgodnie z tymi przepisami, instytucje udzielające finansowania (kredyt, pożyczka, leasing), mogą wymieniać między sobą informacje dotyczące podejrzeń popełnienia przestępstw na ich szkodę. W wyniku zmian wprowadzonych w Ustawie Sektorowej instytucje, wymienione w art. 106d ust. 1 pr. bank., będą uprawnione do przetwarzania, w tym udostępniania, danych osobowych dotyczących wyroków skazujących dotyczących przestępstw dokonywanych na szkodę podmiotów udzielających finansowania, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom. Wprowadzenie takiego ustawowego uprawnienia ma związek z art. 10 RODO, zgodnie z którym przetwarzanie danych osobowych dotyczących wyroków skazujących lub naruszeń prawa jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli jest dozwolone prawem Unii Europejskiej lub państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (w zakresie w jakim te dane są objęte reżimem tajemnicy bankowej wydaje się, że wymóg zapewnienia odpowiednich zabezpieczeń jest w przepisach prawa realizowany).

Dodatkowo w zakresie, w jakim przetwarzanie danych osobowych przez instytucje wymienione w art. 106d ust. 1 pr. bank. jest niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom, wyłączone zostało prawo dostępu do informacji o przetwarzaniu danych osobowych, o którym mowa w art. 15 RODO. Możliwość takiego wyłączenia opiera się na art. 23 ust. 1 RODO, który pozwala na ograniczenie zakresu praw i obowiązków, o których mowa w art. 12-22 RODO, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz jest środkiem niezbędnym, proporcjonalnym i służącym zapobieganiu przestępczości oraz wykrywaniu i ściganiu czynów zabronionych.

Przetwarzanie danych osobowych osób pełniących kluczowe funkcje w banku

W wyniku wejścia w życie Ustawy Sektorowej banki zobowiązane są do identyfikowania – obok członków zarządu i rady nadzorczej – innych kluczowych funkcji w ramach organizacji. Zgodnie z art. 22aa ust. 10 pr. bank., przez kluczowe funkcje należy rozumieć te, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Obowiązkiem banku jest zapewnienie, że osoby pełniące kluczowe funkcje posiadają wiedzę, umiejętności i doświadczenie, odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków, oraz dają rękojmię należytego wykonywania tych obowiązków. W Ustawie Sektorowej doprecyzowano, że wspomniana rękojmia odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. Dodatkowo Ustawa Sektorowa wprowadziła w przepisach art. 22aa ust. 11 pr. bank. katalog dokumentów, oświadczeń i informacji jakich żąda się od osoby ubiegającej się o pełnienie kluczowej funkcji w banku (w tym członka zarządu i rady nadzorczej) dla celów weryfikacji, czy taka osoba spełnia wymagania w zakresie rękojmi. Katalog wymaganych informacji jest stosunkowo szeroki i obejmuje m.in. informacje dotyczące nałożonych na kandydata sankcji administracyjnych, sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata, postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata oraz sposobu działania w życiu środowisku i kontaktach zawodowych. Szczególnie ostatnia z wymienionych kategorii informacji może budzić pewne zastrzeżenia z uwagi na jej mało precyzyjne sformułowanie. Bank żąda powyższych dokumentów, oświadczeń i informacji niezależnie od tego, czy osoba która ma pełnić kluczową funkcję w banku będzie jednocześnie zatrudniona na podstawie umowy o pracę (w takim przypadku w odniesieniu do danych zbieranych od kandydata niezależnie stosuje się przepisy Kodeksu pracy, w szczególności art. 221 Kodeksu pracy), czy też będzie sprawować funkcję na podstawie innego stosunku prawnego. Dane osobowe zawarte w powyższym katalogu mogą być przechowywane nie dłużej niż przez okres 25 lat.

Podsumowując, zmiany w prawie bankowym, wprowadzone w Ustawie Sektorowej, należy ocenić zasadniczo pozytywnie. Na aprobatę zasługuje otwarcie katalogu danych osobowych, na podstawie których m.in. banki będą mogły podejmować zautomatyzowane decyzje dotyczące oceny zdolności kredytowej i analizy ryzyka kredytowego. Należy mieć przy tym nadzieję, że przewidziane w ustawie środki ochrony osób, których dane dotyczą, takie jak prawo do otrzymania informacji o podstawach podjętej decyzji oraz uzyskania interwencji ludzkiej w celu ponownego rozpatrzenia wniosku, będą stanowić realne zabezpieczenie przed wydaniem decyzji nieprawidłowych i umożliwią ich ewentualną korektę. Podobnie, słuszne wydaje się wprowadzenie dodatkowych wymogów związanych z badaniem rękojmi osób, które mają istotny wpływ na funkcjonowanie sektora finansowego w kraju, czyli osób pełniących w bankach – jako instytucjach zaufania publicznego – kluczowe funkcje. Takie rozwiązanie powinno przyczynić się do wzmocnienia jego bezpieczeństwa poprzez dopuszczenie do pełnienia tych funkcji tylko osób, które zarówno posiadają odpowiednią wiedzę i doświadczenie, jak również swoją dotychczasową postawą w życiu zawodowym potwierdzają spełnianie wysokich standardów uczciwości, rzetelności i zdolności do prowadzenia spraw banku w sposób odpowiedzialny i bezpieczny.