Prezes Urzędu Ochrony Danych Osobowych (UODO) opublikował plan kontroli sektorowych na 2022 r. Z planu wynika, że UODO skupi się m.in. na przeprowadzaniu kontroli w bankach w zakresie profilowania danych osobowych klientów i potencjalnych klientów oraz sprawdzi sposoby informowania osób ubiegających się o kredyt o dokonanej ocenie kredytowej w związku z art. 70a ustawy Prawo bankowe[1].

Ponadto Prezes UODO zapowiedział kontrole podmiotów przetwarzających dane osobowe przy użyciu aplikacji mobilnych – kontrole miałyby dotyczyć sposobów zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem tych aplikacji.

Profilowanie danych osobowych przez banki

W komunikacie Prezesa UODO mowa jest o art. 70a Prawa bankowego. Zgodnie z tym przepisem banki i inne instytucje udzielające kredytów lub pożyczek mają obowiązek – na wniosek wnioskującego – przekazać mu wyjaśnienie dotyczące dokonanej oceny jego zdolności kredytowej. Wyjaśnienie takie powinno obejmować informacje na temat czynników (w tym danych osobowych wnioskującego), które miały wpływ na dokonaną ocenę zdolności kredytowej.

Kwestia profilowania jest uregulowana także w art. 105a ust. 1a Prawa bankowego. Zgodnie z tym przepisem banki (oraz inne instytucje udzielające kredytów lub pożyczek) mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje w sposób całkowicie zautomatyzowany, w tym dokonywać profilowania danych osobowych. Warunkiem takiego przetwarzania danych jest zapewnienie osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do: otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz wyrażenia własnego stanowiska.

Ponadto w art. 105a ust. 1b Prawa bankowego wskazany jest przykładowy (otwarty) katalog danych, które banki mogą przetwarzać w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wśród tych danych znajdują się m.in.: adres zamieszkania, miejsce pracy, sytuacja finansowa, w tym dochody i wydatki, osoby pozostające na utrzymaniu, a także szczegółowe informacje dotyczące zobowiązania, w tym przebieg realizacji zobowiązania, stan zadłużenia oraz przyczyny ewentualnego niewykonania zobowiązania.

W tym kontekście należy pamiętać, że informacje o profilowaniu oraz zautomatyzowanym podejmowaniu decyzji powinny się znaleźć w klauzuli informacyjnej. Zgodnie z art. 13 ust. 2 lit. f oraz art. 14 ust. 2 lit. g RODO[2] podmiotowi danych należy przekazać informacje o fakcie zautomatyzowanego podejmowania decyzji (w tym o profilowaniu) oraz zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (podejmowania zautomatyzowanych decyzji) dla podmiotu danych. Jak wynika z motywu 60 RODO, w przypadku profilowania należy poinformować podmiot danych o profilowaniu oraz jego konsekwencjach.

Przedmiotem kontroli UODO mogą więc być wszystkie powyższe kwestie.

Jak się przygotować na ewentualną kontrolę UODO?

W związku z zapowiedzią kontroli przetwarzania danych w zakresie profilowania i informowania o ocenie zdolności kredytowej z pewnością warto się przygotować na ewentualną weryfikację ze strony UODO.

W tym celu można przeprowadzić ograniczony audyt zgodności przetwarzania danych z wymogami prawnymi dotyczącymi profilowania, zautomatyzowanego podejmowania decyzji oraz informowania osób, których dane dotyczą, o przetwarzaniu ich danych osobowych oraz o wyniku oceny ich zdolności kredytowej.

Warto sprawdzić m.in.:

  • podstawę prawną przetwarzania danych osobowych klientów lub potencjalnych klientów, w tym profilowania, w związku z oceną zdolności kredytowej;
  • podstawę prawną zautomatyzowanego podejmowania decyzji – o ile występuje;
  • treść klauzuli informacyjnej dla klientów i potencjalnych klientów – w szczególności czy prawidłowo wskazane są cele przetwarzania, informacje o profilowaniu i jego konsekwencjach, informacje o zautomatyzowanym podejmowaniu decyzji (w tym o zasadach ich podejmowania, ich znaczeniu i przewidywanych konsekwencjach), informacje o uprawnieniach związanych ze zautomatyzowanym podejmowaniem decyzji;
  • realizację zasady minimalizacji danych, w tym czy do profilowania używane są tylko dane niezbędne do dokonania oceny zdolności kredytowej, a jeśli do profilowania wykorzystywane są dane spoza katalogu określonego w art. 105a ust. 1b Prawa bankowego, to czy jest to uzasadnione;
  • sposób realizacji uprawnienia do otrzymania wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, o którym mowa w art. 70a Prawa bankowego, w tym czy określono wzory taki wyjaśnień, czy istnieje wewnętrzna procedura realizacji tego uprawnienia, czy dotychczasowa realizacja tego uprawnienia była prawidłowa i czy nie było skarg ze strony osób, które z niego korzystały;
  • sposób realizacji uprawnień związanych ze zautomatyzowanym podejmowaniem decyzji, tj. prawa do: otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz wyrażenia własnego stanowiska.

[1] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2021 r., poz. 2439).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).