Ustawa sektorowa zapewniająca stosowanie RODO a zmiany w Prawie bankowym
W dniu 4 maja 2019 r. weszła w życie długo oczekiwana ustawa zmieniająca szereg innych ustaw której celem jest dostosowanie polskiego porządku prawnego do uwarunkowań wynikających z wejścia do stosowania ogólnego rozporządzenia o ochronie danych. Najwięcej kontrowersji na etapie prac legislacyjnych wzbudziły m.in. projektowane zmiany Prawa bankowego w zakresie przepisów dotyczących przetwarzania danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego.
****
Mowa o Ustawie z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanej dalej „Ustawą Sektorową”. Po przyjęciu nowej Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych uchwalenie Ustawy Sektorowej stanowi kontynuację działań polskiego ustawodawcy zmierzających do zapewnienia skutecznego stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”), a w niektórych przypadkach do usunięcia przepisów, które są z RODO sprzeczne lub powielają rozwiązania w nim przyjęte. W sektorze finansowym zmiany wprowadzono m.in. w Ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (dalej jako „pr. bank.”).
Zmiany dotyczące przeprowadzania oceny zdolności kredytowej i analizy ryzyka kredytowego
W pierwszej kolejności należy zwrócić uwagę na przepisy, na gruncie których m.in. banki, SKOK-i, inne instytucje upoważnione do udzielania kredytów, instytucje pożyczkowe czy Biuro Informacji Kredytowej będą mogły podejmować decyzje w oparciu wyłącznie o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie, w procesie dokonywania oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 1a–1c pr. bank.). W praktyce oznacza to, że np. decyzja o udzieleniu kredytu lub pożyczki przez bank będzie mogła zapaść w sposób w pełni zautomatyzowany (bez ingerencji ludzkiej) na podstawie danych i informacji posiadanych przez bank, w wyniku zastosowania odpowiednich algorytmów. Gdyby nie wprowadzono omawianych przepisów, wymienione w nich instytucje, w tym przede wszystkim banki, musiałyby – przed dokonaniem oceny zdolności kredytowej opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych – pozyskać wyraźną zgodę osoby ubiegającej się o kredyt lub pożyczkę (ewentualnie argumentować, że taka zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy, co w większości przypadków wydaje się trudne do obrony). Dzięki wprowadzonym przepisom uprawnienie do dokonywania takiej oceny wynika obecnie bezpośrednio z przepisów prawa i nie istnieje potrzeba poszukiwania innej podstawy prawnej dla takich działań. Powyższe zmiany uwzględniają fakt, że polski rynek finansowy, w tym bankowy, jest jednym z najbardziej zaawansowanych technologicznie w Unii Europejskiej, a wprowadzone zmiany powinny wpływać pozytywnie na efektywność procesu badania i oceny ryzyka związanego z przyznaniem kredytu lub pożyczki.
Ustawowe uprawnienie do podejmowania – w określonych przypadkach – decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, wynika z art. 22 ust. 2 lit. b RODO. Przepis ten jednocześnie wymaga, aby prawo państwa członkowskiego wprowadzające takie uprawnienie przewidywało właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Do takich środków, przewidzianych w art. 105a ust. 1a pr. bank., należy zaliczyć nałożony na banki oraz inne instytucje wymienione w tym przepisie obowiązek zapewnienia osobie, której dotyczy decyzja podejmowana w zautomatyzowany sposób, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Warto zwrócić uwagę, że ochrona danych osobowych klientów banków, w tym danych pozyskanych na etapie badania zdolności kredytowej, zapewniona jest również w przepisach o tajemnicy bankowej (art. 104 pr. bank.), której naruszenie może skutkować odpowiedzialnością administracyjną, cywilną oraz karną.
Zautomatyzowane decyzje w procesie dokonywania oceny zdolności kredytowej oraz analizy ryzyka kredytowego mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu – tak wprost stanowi dodany w Ustawie Sektorowej art. 105a ust. 1b pr. bank. Przepis ten jest spójny z określoną w art. 5 ust. 1 lit. c) RODO zasadą minimalizacji danych, zgodnie z którą przetwarzanie danych osobowych musi być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Rządowy projekt Ustawy Sektorowej, przygotowany przez Ministerstwo Cyfryzacji i przekazany pod obrady sejmu, zakładał wprowadzenie zamkniętego katalogu danych, w oparciu o które możliwe byłoby podejmowanie decyzji bazujących na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego. Takie rozwiązanie wywołało szeroki sprzeciw środowiska bankowego, z którego płynęły głosy, że jego przyjęcie prowadziłoby do naruszenia funkcjonujących obecnie złożonych modeli scoringowych (punktowych) stosowanych w celu ustalenia wiarygodności kredytowej wnioskujących o kredyt, które uwzględniają również czynniki inne niż wymienione wprost w katalogu ustawowym. Przyjęta ostatecznie wersja przepisów Ustawy Sektorowej określa przykładowy (otwarty) katalog danych, na podstawie których możliwe będzie podjęcie w pełni zautomatyzowanej decyzji dotyczącej przyznania kredytu. W każdym jednak przypadku kredytodawca powinien być w stanie wykazać, że dane przetwarzane w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego są do osiągnięcia tego celu niezbędne, co powinno zapobiegać ich nadmiernemu wykorzystaniu. W ustawie określono również, że do celów podejmowania zautomatyzowanych decyzji dotyczących przyznania kredytu nie mogą być przetwarzane szczególne kategorie danych, o których mowa w art. 9 RODO (tzw. dane wrażliwe), takie jak dane genetyczne, dane dotyczące zdrowia, dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne czy światopoglądowe.
Niezależenie od tego, czy decyzja o udzieleniu kredytu jest podejmowana w sposób zautomatyzowany, czy przy udziale człowieka, banki oraz inne instytucje ustawowo upoważnione do udzielania kredytów są zobowiązane, na wniosek podmiotu ubiegającego się o kredyt, przekazać mu w formie pisemnej wyjaśnienie dotyczące oceny jego zdolności kredytowej. Obowiązek ten wynika z wprowadzonego Ustawą Sektorową art. 70a pr. bank. Dotychczas możliwość uzyskania tego rodzaju wyjaśnień przysługiwała wyłącznie przedsiębiorcom (na podstawie uchylonych ust. 5 i 6 w art. 70 pr. bank.), obecnie zaś jest otwarta również dla konsumentów. Wyjaśnienia powinny zawierać informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W przypadku wnioskujących o kredyt będących konsumentami przekazanie wyjaśnień ma być bezpłatne, natomiast w przypadku przedsiębiorców ewentualna opłata za sporządzenie wyjaśnień powinna być odpowiednia do wysokości kredytu.
Przetwarzanie danych osobowych na potrzeby tzw. systemów antyfraudowych
W wyniku wejścia w życie Ustawy Sektorowej zmianie uległo brzmienie art. 106d pr. bank., który dotyczy przetwarzania i udostępniania informacji w ramach tzw. systemów antyfraudowych. W myśl tego przepisu instytucje udzielające finansowania (kredytów, pożyczek, leasingu) mogą wymieniać między sobą informacje dotyczące podejrzeń popełnienia przestępstw na ich szkodę. W wyniku dodania ust. 2 w art. 106d pr. bank. podmioty wymienione w art. 106d ust. 1 pr. bank. będą uprawnione do przetwarzania, w tym udostępniania, informacji dotyczących wyroków skazujących dotyczących przestępstw dokonywanych na szkodę podmiotów udzielających finansowania, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom. Wprowadzenie takiego ustawowego uprawnienia ma związek z art. 10 RODO, który stanowi, iż przetwarzanie danych osobowych dotyczących wyroków skazujących lub naruszeń prawa jest możliwe wyłącznie pod nadzorem władz publicznych lub jeżeli jest dozwolone prawem Unii Europejskiej lub państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą (w zakresie, w jakim te dane są objęte reżimem tajemnicy bankowej, wydaje się, że wymóg zapewnienia odpowiednich zabezpieczeń jest w przepisach prawa realizowany).
Dodatkowo w zakresie, w jakim przetwarzanie danych osobowych przez instytucje wymienione w art. 106d ust. 1 pr. bank. jest niezbędne do prawidłowej realizacji zadań dotyczących zapobiegania przestępstwom, wyłączone zostało prawo dostępu do informacji o przetwarzaniu danych osobowych, o którym mowa w art. 15 RODO. Możliwość takiego wyłączenia opiera się na art. 23 ust. 1 RODO, który pozwala na ograniczenie zakresu praw i obowiązków określonych w art. 12–22 RODO, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz jest środkiem niezbędnym, proporcjonalnym i służącym zapobieganiu przestępczości oraz wykrywaniu i ściganiu czynów zabronionych.
Przetwarzanie danych osobowych osób pełniących kluczowe funkcje w banku
W wyniku wejścia w życie Ustawy Sektorowej banki zobowiązane są do identyfikowania – obok członków zarządu i rady nadzorczej – innych kluczowych funkcji w ramach organizacji. W świetle art. 22aa ust. 10 pr. bank. przez kluczowe funkcje należy rozumieć te, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Obowiązkiem banku jest zapewnienie, że osoby pełniące kluczowe funkcje posiadają wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dają rękojmię należytego wykonywania tych obowiązków. W Ustawie Sektorowej doprecyzowano, że wspomniana rękojmia odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny. Dodatkowo Ustawa Sektorowa wprowadza w przepisach art. 22aa ust. 11 pr. bank. katalog dokumentów, oświadczeń i informacji, jakich żąda się od osoby ubiegającej się o pełnienie kluczowej funkcji w banku (w tym członka zarządu i rady nadzorczej) w celu weryfikacji, czy taka osoba spełnia kryteria w zakresie rękojmi. Katalog wymaganych informacji jest stosunkowo szeroki i obejmuje m.in. informacje dotyczące sankcji administracyjnych nałożonych na kandydata, sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata, postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata, oraz sposobu działania w życiu, środowisku i kontaktach zawodowych. Szczególnie ostatnia z wymienionych kategorii informacji może budzić pewne zastrzeżenia z uwagi na mało precyzyjne sformułowanie. Bank żąda powyższych dokumentów, oświadczeń i informacji niezależnie od tego, czy osoba, która ma pełnić kluczową funkcję w banku będzie jednocześnie zatrudniona na podstawie umowy o pracę (w takim przypadku w odniesieniu do danych zbieranych od kandydata niezależnie stosuje się przepisy Kodeksu pracy, w szczególności art. 221 Kodeksu pracy), czy też będzie sprawować funkcję na podstawie innego stosunku prawnego. Dane osobowe zawarte w powyższym katalogu mogą być przechowywane nie dłużej niż 25 lat.
Podsumowując, wprowadzone Ustawą Sektorową zmiany w Prawie bankowym należy ocenić zasadniczo pozytywnie. Na aprobatę zasługuje otwarcie katalogu danych osobowych, na podstawie których banki oraz inne instytucje udzielające finansowania będą mogły podejmować zautomatyzowane decyzje dotyczące oceny zdolności kredytowej i analizy ryzyka kredytowego. Należy mieć przy tym nadzieję, że przewidziane w ustawie środki ochrony osób, których dane dotyczą, takie jak prawo do otrzymania informacji o podstawach podjętej decyzji oraz uzyskania interwencji ludzkiej w celu ponownego rozpatrzenia wniosku, będą stanowić realne zabezpieczenie przed nieprawidłowymi decyzjami lub przynajmniej umożliwią ich ewentualną korektę. Podobnie słuszne wydaje się wprowadzenie dodatkowych wymogów związanych z badaniem rękojmi osób, które mają istotny wpływ na funkcjonowanie branży finansowej w kraju, czyli osób pełniących w bankach – jako instytucjach zaufania publicznego – kluczowe funkcje. To rozwiązanie powinno przyczynić się do wzmocnienia bezpieczeństwa sektora bankowego poprzez dopuszczenie do pełnienia tych funkcji tylko osób, które posiadają odpowiednią wiedzę i doświadczenie, zaś ich dotychczasowa postawa w życiu zawodowym dowodzi, iż spełniają wysokie standardy uczciwości, rzetelności i zdolności do prowadzenia spraw banku odpowiedzialnie i bezpiecznie.