Komentarze ekspertów

Jeśli nie ma umowy kredytowej to dane klienta pozyskane w toku procesu oceny zdolności kredytowej powinny zostać usunięte?

Michał Nowakowski | NGL Legal| NGL Advisory
Jeśli nie ma umowy kredytowej to dane klienta pozyskane w toku procesu oceny zdolności kredytowej powinny zostać usunięte?
Michał Nowakowski. Źródło: NGL Advisory, NGL Legal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
O wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie II SA/Wa 1128/21 jest ostatnio głośno w świecie ochrony danych osobowych. W bardzo dużym skrócie ‒ Sąd stwierdził, że przetwarzane dane pozyskanych w toku procesu oceny zdolności kredytowej powinny zostać usunięte, jeżeli nie doszło do zawarcia umowy kredytowej i nie ma innej podstawy do przetwarzania, wynikającej z Rozporządzenia 2016/679 ‒ przypomina Michał Nowakowski.

Na pozór niewinny wyrok może mieć całkiem spore konsekwencje dla zautomatyzowanych systemów oceny zdolności kredytowej, o których mowa w art. 105a ust. 1 Prawa bankowego, bowiem konkluzje Sądu zmierzają do tego, że żadne dane osobowe nie powinny być przetwarzane po zakończeniu procesu, a więc nie można ich wykorzystywać także do budowania modeli scoringowych i oceny ryzyka, które są wykorzystywane m.in. przez banki.

Skupimy się więc dzisiaj na zautomatyzowanym przetwarzaniu na potrzeby oceny zdolności kredytowej i konsekwencjach wyroku dla tych modeli.

W dzisiejszym felietonie nie chcę wchodzić zbytnio w szczegóły samego wyroku, którego uzasadnienie można sprowadzić do stwierdzenia, że warunkiem „dalszego” przetwarzania jest istnienie lub nieistnienie stosunku zobowiązaniowego, a więc przykładowo wygaśnięcie umowy kredytowej, np. wskutek spłaty kwoty kredytu. Sąd wskazał tutaj, że o prawie do przetwarzania będzie więc każdorazowo decydować konkretny stosunek i odpowiednia podstawa prawna.

Przepisy określają (…) graniczne okresy przetwarzania (…) danych

W kontekście oceny zdolności kredytowej istotny jest tutaj art. 105a ust. 1 Prawa bankowego, który upoważnia m.in. banki do przetwarzania danych na potrzeby oceny zdolności kredytowej i analizy ryzyka, ale ‒ jak stwierdził sam Sąd ‒ ta podstawa odpada, jeżeli nie dojdzie do zawarcia umowy kredytu, co może być wynikiem zarówno negatywnej oceny zdolności kredytowej, jak i samej decyzji czy to banku, czy też potencjalnego kredytobiorcy. Bowiem samo przeprowadzenie oceny nie rodzi obowiązku zawarcia umowy, a więc powstania stosunku zobowiązaniowego pomiędzy stronami. Często chcemy po prostu dokonać oceny naszych możliwości.

[Naczelny Sąd Administracyjny w wyroku I OSK 2567/17 wskazał wprost, że „cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (…) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań”.]

Klient żąda usunięcia swoich danych

W sprawie będącej przedmiotu sporu doszło właśnie do takiej sytuacji, jednak instytucja (w tym przypadku SKOK) nie usunęła informacji, które były podstawą dokonanej oceny, a więc przetwarzał dalej dane osobowe, zwracając uwagę na to, że są one niezbędne do budowania modelu scoringowego, a sama wnioskodawczyni postanowiła zażądać usunięcia danych, co spotkało się z odmową zarówno SKOK, jak i Biura Informacji Kredytowej, któremu SKOK przekazał informacje.

Sprawa nie jest więc łatwa i obawiam się, że nie zakończy się tylko na poziomie WSA, choć faktem jestem, że ‒ bazując przynajmniej na argumentacji Sądu ‒ SKOK i BIK nie wykazały właściwej podstawy prawnej do dalszego przetwarzania, która mogłaby wynikać albo z podstawy prawnej (np. Prawo bankowe), albo regulacji sektorowych, jak np. rekomendacje Komisji Nadzoru Finansowego. W rezultacie Urząd Ochrony Danych Osobowych nakazał usunięcie danych, co spotkało się z niezadowoleniem obu podmiotów. Pytanie jednak czy słusznie?

Czytaj także: Jak zapobiegać ujawnieniu danych osobowych i niechcianym długom zaciągniętym na nasze nazwisko?

Dane do oceny ryzyka

Jak to zwykle bywa ‒ zależy. Konkluzje WSA zasadniczo zmierzają do tego, że strony nie ustaliły czy istnieje podstawa prawna do dalszego przetwarzania po niezawarciu umowy kredytowej, ale brakuje w uzasadnieniu bardziej rozbudowanych rozważań na temat tego czy taka podstawa rzeczywiście występuje, a także czy instytucje te nie są obowiązane do dalszego przetwarzania w związku z rekomendacjami KNF (np. w odniesieniu do modeli oceny ryzyka).

W takim wypadku podmioty te mogłyby powołać się chociażby na art. 6 ust. 1 pkt c) rozporządzenia 2016/679, a więc niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze. Temat nie jest więc łatwy i może rodzić pewne wątpliwości, także w kontekście możliwości wykorzystania tych danych do trenowania modeli wykorzystywanych do oceny zdolności kredytowej i analizy ryzyka.

Czy w przypadku, gdy takie dane zostały wykorzystywane do wytrenowania modelu, np. w czasie rzeczywistym w trakcie samego procesu oceny zdolności kredytowej, powinny one zostać usunięte? I jeżeli tak, to jaka jest tego konsekwencja dla samego systemu?

Prawo bankowe a przetwarzanie danych

Prawo bankowe dopuszcza dalsze przetwarzanie zasadniczo w trzech przypadkach.

W przypadku wygaśnięcia zobowiązania wynikającego z zawartej z bankiem umowy pod warunkiem uzyskania zgody osoby, której informacje dotyczą ‒ art. 105a ust. 2 Prawa bankowego, a także bez zgody tej osoby, jeżeli nie wykonała ona zobowiązania lub dopuściła się zwłoki powyżej 60 dni, a po takiej sytuacji upłynęło co najmniej 30 dni od poinformowania tej osoby ‒ art. 105a ust. 3 Prawa bankowego.

Po wygaśnięciu zobowiązania i bez zgody tej osoby, jeżeli informacje są wykorzystywane do celów stosowania metod wewnętrznych oraz innych metod i modeli.

Przepisy określają także graniczne okresy przetwarzania tych danych.

Regulacji dotyczących bankowych modeli wewnętrznych jest wiele

Podkreślić należy, że banki (i „podobne” instytucje”) mają jasno określone obowiązki w zakresie zarządzania ryzykiem modeli i wykorzystaniem modeli wewnętrznych, a obowiązki te wynikają zarówno z przepisów prawa bankowego, jak i rozporządzenia CRR.

W tym zakresie istotna jest także Rekomendacja W opracowana przez KNF, która jest brana pod uwagę przy ocenie dokonywanej w ramach Badania i Oceny Nadzorczej BION.

Warto wskazać tutaj na rekomendację 9.4, w której KNF wskazała na tzw. „ryzyko danych – wynikające z: braku dostępu do wymaganych danych; niskiej jakości danych wejściowych; wadliwości procesów pozyskiwania, przetwarzania, agregowania i składowania danych; niewystarczającej liczebności próby; nieadekwatnej długości szeregów czasowych; nieodpowiedniej częstotliwości zasilania modelu danymi; niewystarczalności dostępnego zakresu danych w kontekście opisu przebiegu modelowanego procesu”.

Materializacja tego ryzyka może mieć doniosłe znaczenie, bowiem może skutkować m.in. niewłaściwym pokryciem kapitałowym ekspozycji kredytowych, a tym samym zagrażać stabilności banku. Wszystko oczywiście zależy od skali tego ryzyka, ale nie można go ignorować, tym bardziej, że także przepisy CRR (m.in. art. 176) nakładają specyficzne wymogi w zakresie zapewnienia odpowiedniej jakości danych i kontroli działania modeli wewnętrznych.

To co jest tutaj istotne, to zrozumienie zależności pomiędzy różnymi systemami i modelami stosowanymi w bankach. Jak wpływają one na siebie wzajemnie, tworząc barierę regulacyjną (ochronną) dla stabilności instytucji finansowej.

Może więc zdarzyć się, że dane pochodzące z oceny zdolności kredytowej i oceny ryzyka będą w trybie rzeczywistym zasilały dane model stosowany przez bank, stanowiąc tym samym podwaliny dla kolejnych działań modelu, także w kontekście oceny zdolności kredytowej przyszłych wnioskodawców.

A więc zastosowanie wskazania NSA, o którym pisałem powyżej, tj. niedopuszczalności przetwarzania danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, może mieć doniosłe konsekwencje. Pod warunkiem oczywiście, że nie znajdziemy innej podstawy prawnej.

Czytaj także: UODO: 10 tys. złotych kary dla administratora za brak rozwiązań zapewniających bezpieczeństwo danych

Argumenty WSA ‒ Prawo bankowe

W tym miejscu nie sposób nie zgodzić się z argumentacją WSA, że przywołane przepisy jako takie nie dają podstaw do dalszego przetwarzania, bowiem nie powstał tutaj stosunek zobowiązaniowy, a wnioskodawca nie dał zgody na dalsze przetwarzanie, co mogłoby uzasadniać wykorzystanie tych danych.

Z tej perspektywy, zaraz po dokonaniu oceny i niewyrażeniu chęci zawarcia umowy kredytowej, instytucja powinna ‒ teoretycznie usunąć dane ‒ bowiem odpadła przesłanka przetwarzania.

Co jednak z art. 70 Prawa bankowego, który zobowiązuje bank do dokonywania oceny zdolności kredytowej, a także innych przepisów, które odnoszą się do konieczności budowania i stosowania modeli, także w kontekście oceny ryzyka kredytowego?

Czy w takim wypadku wykorzystanie tych danych nie mogłoby opierać się o art. 6 ust. 1 pkt c) lub nawet f) ‒ przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą?

Wymagałoby to rzeczywiście zrekonstruowania całego ciągu obowiązków prawnych i regulacyjnych przez SKOK (zgodnie z przepisami właściwymi dla tych instytucji) i BIK (choć tutaj podstawy mogłyby być zgoła odmienne), czego niestety zabrakło w argumentacji podmiotów.

Istotne jest też w tym przypadku zważenie spornych interesów, bowiem usunięcie tych danych ‒ jeżeli nie były one np. anonimizowane na potrzeby trenowania modelu, mogłoby zagrażać właściwemu działaniu modelu. Wiele w tym wypadku zależałoby oczywiście od ułożenia samego procesu budowania modeli, w tym w jaki sposób dane są do niego dostarczane i jak wygląda proces usuwania wadliwych danych, a także czy nie wymaga to ponownego przetrenowania modelu.

Jest to oczywiście tematyka, którą należałoby analizować jednostkowo, jednak warto zastanowić się czy nie potrzebujemy zmian w Prawie bankowym i aktach o podobnym charakterze, aby jasno określić zasady dotyczące przetwarzania w kontekście systemów zautomatyzowanych. Może ten wyrok będzie krokiem w tym kierunku?

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: aleBank.pl