RODO i Prawo bankowe oraz UKNF, czyli komunikat w sprawie zdolności kredytowej
UKNF opublikował wczoraj Komunikat ws. realizacji przez banki i inne instytucje ustawowo upoważnione do udzielania kredytów prawa wnioskującego o kredyt do uzyskania wyjaśnień na temat dokonanej oceny zdolności kredytowej, który ma znaczenie nie tylko banków, ale potencjalnie kredytobiorców lub „niedoszłych” kredytobiorców. Poza ogólnymi spostrzeżeniami co do realizacji obowiązku udzielania wyjaśnień wnioskodawcom, UKNF pokusił się o kilka rekomendacji co do usprawnienia tego procesu. Urząd podkreślił, że chodzi tutaj także o wyjaśnienia w kontekście art. 105a ust. 1a Prawa bankowego (zautomatyzowane narzędzia oceny zdolności. Przejdźmy przez dokument. Zaczynamy!
Zacznijmy od teorii. Art. 70a Prawa bankowego nakłada m.in. na banki obowiązek udzielania podmiotom ubiegającym się o kredyt stosownych wyjaśnień co do oceny zdolności kredytowej. W wyjaśnieniach takich powinny znaleźć się takie informacje jak czynnik, w tym dane osobowe, które miały wpływ na dokonaną ocenę zdolności. Powinny więc tam znaleźć się takie informacje jak zakres danych, na których opierał się bank czy grupa benchmarkowa, czyli taka do której „przyrównany” był wnioskodawca. Analogiczny obowiązek przewiduje wspomniany już art. 105a ust. 1a.
W tym miejscu można znaleźć więcej artykułów na temat zdolności kredytowej).
Co zrobił UKNF?
Na określonej próbie banków dokonał oceny jak wywiązują się z tego obowiązku, stwierdzając, że „(…) co do zasady dostosowały [one]swoją działalność do wymagań określonych w ustawie”, ale jednocześnie praktyka w tym zakresie była niejednolita. Co Urząd miał na myśli?
Wskazany powyżej przepis jest bardzo ogólny i zasadniczo nie wskazuje co powinno się tam znaleźć za wyjątkiem informacji na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Przy okazji „marzenia” o facebooku jako źródle danych na potrzeby tej oceny wskazywałem co może być przedmiotem badania, choć oczywiście były to raczej dane niestandardowe.
Zbyt ogólnie
Urząd wskazał w swoim komunikacie, że największym „problemem” jest ogólny charakter stwierdzeń (kategorii danych) przekazywanych przez banki i po prostu brakuje konkretnych i szczegółowych danych o samym wnioskującym (w tym jego sytuacji finansowej), które wpłynęły na jego scoring. Zdaniem Urzędu jest to praktyka niezgodna z założeniami art. 70a Prawa bankowego, jak i w ogóle Rozporządzenia 2016/679 (RODO). Zdaniem nadzorcy nawet podanie takich informacji jak kategoria danych, które zostały wzięte pod uwagę nie będzie realizowała tego obowiązku.
Jak rozumiem UKNF powołuje się tutaj m.in. na zasadę przejrzystości (art. 12 RODO) oraz uprawnienia wynikające m.in. z art. 15 RODO, bo jak zakładam w mniejszym stopniu Urząd referował tutaj do profilowania z użyciem zautomatyzowanych narzędzi, bo to niekoniecznie musi być ta sytuacja. Brakuje jednak wyjaśnień o co dokładnie chodzi.
Niemniej jednak Urząd wskazał czego oczekuje od kredytodawców. Pozwolę sobie na cytat:
„Mając na uwadze przytoczone zastrzeżenia, optymalnym i pożądanym przez UKNF, a także czyniącym zadość celowi art. 70a ustawy rozwiązaniem w tym zakresie jest uwzględnianie w odpowiedziach na wnioski klientów: zindywidualizowanej i szczegółowej informacji, w tym informacji na temat środków, które powinien przedsięwziąć wnioskujący aby usunąć negatywne skutki determinujące decyzję kredytodawcy o nieprzyznaniu kredytu”
Chyba niewiele to wyjaśnia w kontekście tego jak powinny takie wyjaśnienia wyglądać. To jak ja rozumiem to stwierdzenie, to konieczność wskazania nie tylko podstawy (odmowy), ale również samego schematu decyzyjnego (myślowego?), który doprowadził do takiej a nie innej decyzji, a także wskazania zasad wynikających z polityki kredytowej kredytobiorcy. Czy się mylę? Wydaje mi się, że niesie to dość daleko idące konsekwencje.
Tym bardziej, że możemy też dojść do wniosku, że stwierdzenie, że kredytodawca powinien przekazać informacje na temat środków, które powinien podjąć wnioskujący, aby uzyskać kredyt, prowadzi do nałożenia na bank obowiązku działania w jakiejś formie doradcy (finansowego/kredytowego).
To czego brakuje w komunikacie, to „case study”, które pokazywałoby, jak miałyby wyglądać takie wzorcowe wyjaśnienia. Weźmy jednak pod uwagę, że art. 70a Prawa bankowego nie nakłada na bank szczegółowych obowiązków.
Może potrzebne jest rozporządzenie w tej sprawie?
Brak terminu
Wśród innych „niewłaściwych” praktyk UKNF wskazał brak określenia w wewnętrznych procedurach terminu, do którego wnioskodawca może ubiegać się o udzielenie wyjaśnień (znowu – taki obowiązek nie wynika z ww. przepisu).
Taki termin zdaniem Urzędu ma ściśły związek z postanowieniami Rozporządzenia 2016/679, bowiem bezterminowe przetwarzanie danych wnioskujących może mieć negatywne skutki dla osoby, której dane przetwarzamy.
Tutaj warto zwrócić uwagę, że – o ile się nie mylę – brakuje przepisów, które regulowałyby tą „drażliwą” kwestię (art. 105a nie daje tutaj jednoznacznej odpowiedzi). Z drugiej strony obowiązek usunięcia danych, jeżeli nie są już one „potrzebne” wynika wprost z przepisów o ochronie danych osobowych (art. 105a ust. 4 nie znajdzie tutaj zastosowania).
UKNF rekomenduje (oczekuje) więc, że kredytodawcy będą określać w swoich regulacjach wewnętrznych terminy przetwarzania danych, a nadto – w przypadku odmowy – dodatkowo informowali w jakim terminie wnioskodawcy mogą uzyskać wyjaśnienia co do oceny.
Implikuje to potencjalnie konieczność rewizji nie tylko procedur i polityk, ale także dokumentów zewnętrznych (klientowskich) pod kątem ochrony danych osobowych.
Jak oceniać komunikat?
To trudne zadanie. Z jednej strony w komunikacie znajdziemy stwierdzenie, że nie jest on źródłem prawa, a w zasadzie prezentuje jedynie wnioski z przeprowadzonej analizy, a z drugiej mamy wyraźne „oczekiwania” w tym zakresie (skądinąd słuszne). Z trzeciej strony poruszana tutaj tematyka wkracza w tematykę „zarezerwowaną” m.in. dla UODO, a w samym dokumencie brakuje bardziej szczegółowych wyjaśnień co do przepisów o ochronie danych osobowych. Może przydałyby się jakieś wspólne wytyczne?