W związku z przekazaniem do prac parlamentarnych rządowego projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (druk sejmowy 3050) Fundacja Rozwoju Rynku Finansowego pragnie zwrócić uwagę na potencjalne skutki, jakie może nieść ze sobą przyjęcie przepisów art. 49 pkt 4 projektu ustawy w ich proponowanym brzmieniu oraz zwrócić się z apelem o wprowadzenie stosownych zmian, które zapewnią prawidłowe funkcjonowanie i stabilność rynku finansowego.
Projektowany art. 49 pkt 4 wprowadza zmiany w art. 105a ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.). Projekt przewiduje dodanie ust. 1a w art. 105a ustawy – Prawo bankowe, który dopuszcza możliwość podejmowania przez banki, inne instytucje upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa art. 59d ustawy z dnia 12 maja 2011 r o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust, 4 prawa bankowego, decyzji wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie klienta. Zgodnie z zaproponowanym rozwiązaniem warunkiem stosowania zautomatyzowanych metod przetwarzania danych jest prawo klienta do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.
O ile wprowadzenie możliwości podejmowania decyzji wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie klienta, należy ocenić pozytywnie, jako odpowiadające na dynamiczny rozwój technologiczny i postępującą cyfryzację rynku finansowego, o tyle zaproponowane w przepisie rozwiązanie polegające na warunkowaniu stosowania automatycznego przetwarzania danych prawem klienta do otrzymania stosownych wyjaśnień, zakwestionowania decyzji, a w szczególności do uzyskania interwencji ludzkiej, budzi wątpliwości. W uzasadnieniu projektu wskazano, że powyższe rozwiązanie koresponduje z art. 22 ust. 2 lit b. RODO. Należy jednak zauważyć, że art. 22 ust. 2b RODO przewiduje szczególny przypadek wyłączenia zasady, zgodnie z którą osoba, której dane dotyczą ma prawo do tego, aby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Przepis art. 22 ust. 2 b RODO stanowi bowiem o możliwości wyłączenia tego prawa, jeżeli decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. W ocenie Fundacji Przepis art. 22 ust. 2b RODO nie stanowi podstawy do uzależnienia możliwości podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu danych od zagwarantowania klientowi prawa do uzyskania interwencji ludzkiej. Takie rozwiązanie przewiduje art. 22 ust. 2 a i c RODO, a zatem dotyczy sytuacji, w których stosowne środki ochrony prawnej nie zostały przewidziane w przepisach prawa i tym samym przepis ten nakłada określone obowiązki na administratora danych osobowych.
Poważne wątpliwości budzi także propozycja dodania ust. 1b w art. 105a ustawy – Prawo bankowe, określającego zamknięty katalog informacji, w oparciu o które możliwe będzie podejmowanie decyzji opartych na zautomatyzowanym przetwarzaniu danych osobowych. Autorzy projektu wskazują w uzasadnieniu, że „dane uwzględnione w ustawowym katalogu swoim zakresem odpowiadają – co do zasady – danym, które zostały wymienione w obecnie obowiązującym akcie wykonawczym Ministra Finansów, wydanym na podstawie art. 105a ust. 7 ustawy – Prawo bankowe”. Należy jednak zaznaczyć, że Rozporządzenie Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji reguluje zakres i tryb przetwarzania informacji, o których mowa w art. 105 a ust. 3 i 4, tj. bez zgody osoby, której informacje te dotyczą, po wygaśnięciu zobowiązania, nie zaś informacji przetwarzanych dla celów oceny zdolności kredytowej i podejmowania decyzji kredytowych. Przepis art. 105a ust. 3 ustawy – Prawo bankowe umożliwia przetwarzanie, przez okres maksymalnie 5 lat, informacji po wygaśnięciu zobowiązania bez zgody osoby, której informacje dotyczą, jeżeli osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją upoważnioną do udzielania kredytów lub instytucją pożyczkową, a po zaistnieniu tego zdarzenia upłynęło co najmniej 30 dni od dnia poinformowania tej osoby o zamiarze przetwarzania jej danych. Przetwarzanie danych po wygaśnięciu zobowiązana jest również dopuszczalne bez zgody osoby, której dane dotyczą, przez okres maksymalnie 12 lat w celach statystycznych, o których mowa w art. 105a ust. 4 Prawa bankowego. W takich przypadkach przepis art. 105a ust 6 Prawa bankowego wprost wskazuje, że dane przetwarzane po wygaśnięciu zobowiązania mogą obejmować wyłącznie dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania. Należy jednak podkreślić, że celem przetwarzania danych na podstawie art. 105a ust. 3 Prawa bankowego jest dbałość o stabilność sektora finansowego poprzez udostępnianie informacji o niesolidnych dłużnikach. Zakres informacji niezbędnych do oceny rzetelności spłaty zobowiązań w przeszłości jest jednakże zupełnie inny niż zakres informacji potrzebnych do oceny przyszłych zachowań klienta w procesie oceny zdolności kredytowej.
Kopiowanie rozwiązań, które nie są adekwatne zarówno z punkt widzenia celu przetwarzania danych (ocena zdolności kredytowej vs. informacja o niesolidnym dłużniku lub budowanie modeli oceny ryzyka), jak również z punktu widzenia technologicznego zaawansowania procesu oceny zdolności kredytowej, nie znajduje uzasadnienia. W ocenie Fundacji wprowadzenie zamkniętego katalogu danych, przy wykorzystaniu których możliwe będzie podejmowanie decyzji opartych na zautomatyzowanym przetwarzaniu danych w istocie może prowadzić do osłabienia stabilności sektora finansowego poprzez osłabienie procesu oceny zdolności kredytowej. Należy mieć na uwadze, że na przestrzeni ostatnich lat zakres danych wykorzystywanych w procesie oceny zdolności kredytowej uległ istotnym zmianom. Informacje o charakterze socjo-demograficznym, tj. liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków czy tytuł prawny do zajmowanego lokalu wobec zmieniających się uwarunkowań społecznych stopniowo tracą na znaczeniu na rzecz danych o charakterze behawioralnym, tj. spłata zobowiązań pozakredytowych, terminowość regulowania zobowiązań związanych z prowadzeniem gospodarstwa domowego, liczba transakcji zawieranych w serwisach aukcyjnych itd.
Komisja Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych zaleca bankom, aby ocena zdolności kredytowej klienta dokonywana była w dwóch obszarach, tj. oceny ilościowej i jakościowej (patrz Rekomendacja nr 6.1.). W ramach analizy jakościowej wyróżnia się m.in. analizę historii współpracy klienta z bankiem, obejmującą historię operacji na rachunku, terminowość spłat dotychczasowych zobowiązań, korzystanie z innych produktów banku. Wskazane w Rekomendacji T wytyczne dotyczące oceny jakościowej stanowią jedynie minimalny katalog informacji, które banki są zobowiązane uwzględniać w procesie oceny zdolności kredytowej. Im szerszy jest zakres informacji pozyskanych w procesie oceny zdolności kredytowej, tym lepiej kredytodawca jest w stanie oszacować prawdopodobieństwo spłaty zobowiązania przez klienta. Ma to niezwykle istotne znaczenie, z jednej strony z punktu widzenia procesu zarządzania ryzykiem w podmiotach udzielających kredytów i pożyczek, a z drugiej strony z punktu widzenia przeciwdziałania zjawisku nadmiernego zadłużania konsumentów oraz zjawiskom wyłudzeń kredytów i pożyczek. Podkreślenia wymaga, że rozwój nowoczesnych technologii w zakresie płatności elektronicznych otwiera szerokie możliwości poprawy oceny zdolności i wiarygodności kredytowej konsumentów, którzy sporadycznie korzystają z produktów kredytowych lub pożyczkowych. Podmioty udzielające kredytów stale doskonalą algorytmy, w oparciu o które dokonywana jest ocena zdolności kredytowej, dążąc do wypracowywania jak najdokładniejszych modeli predykcyjnych, szacujących prawdopodobieństwo spłaty zobowiązania przez klienta. Dostawcy finansowania poszukują dostępnych rozwiązań do budowania systemów autentykacji bardzo często opartych o szeroki wachlarz danych. Nie jest możliwe stworzenie skończonego katalogu danych, które mogą być przetwarzane, ponieważ niezwykle istotnym aspektem jest zapewnienie zgodności w zakresie prawidłowej identyfikacji osoby (wynikającej np. z regulacji dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu), a także prowadzenie działalności w sposób odpowiedzialny wobec osób trzecich, które mogą paść ofiarą przestępstw.
Nowe technologie, które powstają i są implementowane w biznesie, oparte są często o bardzo złożone mechanizmy działania. Przykładem jest uczenie maszynowe (ang. machine learning), polegające na tym, że komputer sam uczy się i buduje złożone modele, których wyników końcowo nie da się przeanalizować i uzasadnić. Wprowadzenie w art. 105a ust. 1a obowiązku informacyjnego w proponowanym kształcie (tj. prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej) praktycznie uniemożliwia zastosowanie rozwiązań wykorzystujących uczenie maszynowe, których zaletą jest dużo większa precyzja niż modeli opartych o wiedzę ekspercką. Wprowadzenie zaproponowanych rozwiązań spowoduje, że ta droga rozwijania rzetelnej oceny ryzyka fraudowego i kredytowego zostanie zamknięta. Zastosowanie skończonego katalogu danych, które będą mogły zostać wykorzystane w procesie zautomatyzowanej oceny zdolności kredytowej spowoduje istotne ograniczenie w budowaniu nowoczesnych rozwiązań wspomagających ten proces, co wprost przełoży się na zwiększenie ryzyka w sektorze pożyczkowo-kredytowym, a tym samym będzie przekładać się na cenę kredytu dla konsumenta.
Mając powyższe na uwadze Fundacja postuluje:
– rezygnację z rozwiązania polegającego na warunkowaniu możliwości podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu danych prawem do otrzymania przez osobę, której dane dotyczą, stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej;
– rezygnację z dodawania ust. 1b w art. 105a ustawy – Prawo bankowe lub przesądzenie w tym przepisie, że wskazane informacje stanowią minimalny katalog danych, które powinny być wykorzystywane w zautomatyzowanym procesie decyzyjnym.
Fundacja wskazuje ponadto, że projektowany art. 106d ustawy – Prawo bankowe nie przesądza, iż przetwarzanie danych dla celów zapobiegania przestępstwom i nadużyciom na rynku finansowym dopuszczalne jest w sposób zautomatyzowany, w tym z wykorzystaniem profilowania. Systemy antyfraudowe, podobnie jak systemy oceny zdolności kredytowej i ryzyka kredytowego, w szerokim zakresie wykorzystują profilowanie – opierają się na analizie i predykcji określonych zachowań, szacują prawdopodobieństwo wystąpienia nieprawidłowości. Podkreślenia wymaga, że przestępstwa popełniane są nie tylko przeciwko instytucjom finansowym, ale także przeciwko klientom tych instytucji, np. w przypadku posługiwania się przez przestępców danymi osobowymi osób trzecich. Gromadzenie i przetwarzanie szerokiego zakresu danych jest niezwykle istotne w procesie dochodzenia roszczeń i ustalenia potencjalnych sprawców oszustw. Doświadczenia instytucji finansowych pokazują, że zaawansowane technologie wspierają działania organów ścigania i umożliwiają szybsze ujęcie sprawców wielu przestępstw. Wykorzystywanie nowoczesnych technologii umożliwia również wykrywanie korelacji pomiędzy poszczególnymi przypadkami nadużyć, czy przestępstw, co z kolei pozwala na przypisywanie przestępcom wszystkich popełnianych przez nich przestępstw. Mając powyższe na uwadze Fundacja postuluje przesądzenie w art. 106d, iż przetwarzanie danych dla celów zapobiegania nadużyciom i przestępstwom na rynku finansowym dopuszczalne jest w sposób zautomatyzowany, tj. z wykorzystaniem profilowania.
Fundacja pragnie także zwrócić uwagę na treść proponowanego art. 106e w ustawie – Prawo bankowe. Zgodnie z tym przepisem w przypadku przetwarzania danych osobowych dla celów zapobiegania przestępstwom, nie będzie miał zastosowania art. 15 RODO, gwarantujący osobie, której dane dotyczą, prawo dostępu do nich. Projekt nie przewiduje jednakże wyłączenia stosowania art. 14 RODO, zgodnie z którym w przypadku uzyskania danych za pośrednictwem platformy wymiany informacji (na podstawie art. 106d Prawa bankowego) administrator będzie zobowiązany do poinformowania osoby, której dane dotyczą, m.in. o celu ich przetwarzania, podstawie prawnej przetwarzania, czy też źródle pochodzenia danych. Powyższe oznacza, że osoba, co do której zachodzi podejrzenie popełnienia przestępstwa, będzie musiała zostać o tym fakcie poinformowana. Tym samym przepis w proponowanym brzmieniu zaprzecza istocie przetwarzania danych na podstawie art. 106d Prawa bankowego, tj. przetwarzania danych bez wiedzy osób, których te dane dotyczą w celu zapobiegania przestępstwom oraz nadużyciom na rynku finansowym. Realizując cel przetwarzania i wymiany danych dla potrzeb zapobiegania przestępstwom, w ocenie Fundacji, należałoby również wyłączyć stosowanie art. 13, art. 21 RODO, umożliwiającego wniesienie sprzeciwu oraz art. 34 RODO.