Komunikat UKNF w sprawie informowania o zdolności kredytowej, jakie wnioski dla banków?
Poza ogólnymi spostrzeżeniami co do realizacji obowiązku udzielania wyjaśnień wnioskodawcom, UKNF pokusił się o kilka rekomendacji co do usprawnienia tego procesu.
Urząd podkreślił, że chodzi tutaj także o wyjaśnienia w kontekście art. 105a ust. 1a Prawa bankowego, zautomatyzowane narzędzia oceny zdolności
Zacznijmy od teorii. Art. 70a Prawa bankowego nakłada m.in. na banki obowiązek udzielania podmiotom ubiegającym się o kredyt stosownych wyjaśnień co do oceny zdolności kredytowej.
W wyjaśnieniach takich powinny znaleźć się takie informacje jak czynnik, w tym dane osobowe, które miały wpływ na dokonaną ocenę zdolności.
Powinny więc tam znaleźć się takie informacje jak zakres danych, na których opierał się bank czy grupa benchmarkowa, czyli taka do której „przyrównany” był wnioskodawca.
Analogiczny obowiązek przewiduje wspomniany już art. 105a ust. 1a.
Co zrobił UKNF?
Na określonej próbie banków dokonał oceny jak wywiązują się z tego obowiązku, stwierdzając, że „(…) co do zasady dostosowały [one] swoją działalność do wymagań określonych w ustawie”, ale jednocześnie praktyka w tym zakresie była niejednolita. Co Urząd miał na myśli?
Czytaj także: UKNF o sposobie informowania klientów o ich zdolności kredytowej
Wskazany powyżej przepis jest bardzo ogólny i zasadniczo nie wskazuje, co powinno się tam znaleźć za wyjątkiem informacji na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Przy okazji marzenia o Facebooku, jako źródle danych na potrzeby tej oceny ‒ wskazywałem, co może być przedmiotem badania, choć oczywiście były to raczej dane niestandardowe.
Czytaj także: W jaki sposób banki oceniają zdolność kredytową w czasach pandemii COVID-19?
Zbyt ogólnie
Urząd wskazał w swoim komunikacie, że największym problemem jest ogólny charakter stwierdzeń, kategorii danych przekazywanych przez banki i po prostu brakuje konkretnych i szczegółowych danych o samym wnioskującym, w tym jego sytuacji finansowej, które wpłynęły na jego scoring.
Zdaniem Urzędu jest to praktyka niezgodna z założeniami art. 70a Prawa bankowego, jak i w ogóle Rozporządzenia 2016/679 (RODO). Zdaniem nadzorcy nawet podanie takich informacji jak kategoria danych, które zostały wzięte pod uwagę nie będzie realizowała tego obowiązku.
Jak rozumiem ‒ UKNF powołuje się tutaj m.in. na zasadę przejrzystości (art. 12 RODO) oraz uprawnienia wynikające m.in. z art. 15 RODO, bo jak zakładam w mniejszym stopniu Urząd referował tutaj do profilowania z użyciem zautomatyzowanych narzędzi, bo to niekoniecznie musi być ta sytuacja. Brakuje jednak wyjaśnień, o co dokładnie chodzi.
Niemniej jednak Urząd wskazał czego oczekuje od kredytodawców. Pozwolę sobie na cytat:
„Mając na uwadze przytoczone zastrzeżenia, optymalnym i pożądanym przez UKNF, a także czyniącym zadość celowi art. 70a ustawy rozwiązaniem w tym zakresie jest uwzględnianie w odpowiedziach na wnioski klientów: zindywidualizowanej i szczegółowej informacji, w tym informacji na temat środków, które powinien przedsięwziąć wnioskujący, aby usunąć negatywne skutki determinujące decyzję kredytodawcy o nieprzyznaniu kredytu”.
Chyba niewiele to wyjaśnia w kontekście tego, jak powinny takie wyjaśnienia wyglądać. To ‒ jak ja rozumiem to stwierdzenie, to konieczność wskazania nie tylko podstawy (odmowy), ale również samego schematu decyzyjnego (myślowego?), który doprowadził do takiej, a nie innej decyzji, a także wskazania zasad wynikających z polityki kredytowej kredytodawcy. Czy się mylę? Wydaje mi się, że niesie to dość daleko idące konsekwencje.
Tym bardziej, że możemy też dojść do wniosku, że stwierdzenie, że kredytodawca powinien przekazać informacje na temat środków, które powinien podjąć wnioskujący, aby uzyskać kredyt, prowadzi do nałożenia na bank obowiązku działania w jakiejś formie doradcy (finansowego / kredytowego).
To czego brakuje w komunikacie, to case study, które pokazywałoby, jak miałyby wyglądać takie wzorcowe wyjaśnienia. Weźmy jednak pod uwagę, że art. 70a Prawa bankowego nie nakłada na bank szczegółowych obowiązków. Może potrzebne jest rozporządzenie w tej sprawie?
Czytaj także: Czy Rozporządzenie RODO uzasadnia zgodne z prawem wykorzystanie sztucznej inteligencji?
Brak terminu
Wśród innych niewłaściwych praktyk UKNF wskazał brak określenia w wewnętrznych procedurach terminu, do którego wnioskodawca może ubiegać się o udzielenie wyjaśnień (znowu – taki obowiązek nie wynika z ww. przepisu).
Taki termin zdaniem Urzędu ma ścisły związek z postanowieniami Rozporządzenia 2016/679, bowiem bezterminowe przetwarzanie danych wnioskujących może mieć negatywne skutki dla osoby, której dane przetwarzamy.
Tutaj warto zwrócić uwagę, że – o ile się nie mylę – brakuje przepisów, które regulowałyby te drażliwą kwestię (art. 105a nie daje tutaj jednoznacznej odpowiedzi). Z drugiej strony obowiązek usunięcia danych, jeżeli nie są już one potrzebne wynika wprost z przepisów o ochronie danych osobowych (art. 105a ust. 4 nie znajdzie tutaj zastosowania).
UKNF rekomenduje (oczekuje) więc, że kredytodawcy będą określać w swoich regulacjach wewnętrznych terminy przetwarzania danych, a nadto – w przypadku odmowy – dodatkowo informowali w jakim terminie wnioskodawcy mogą uzyskać wyjaśnienia co do oceny.
Implikuje to potencjalnie konieczność rewizji nie tylko procedur i polityk, ale także dokumentów zewnętrznych (klientowskich) pod kątem ochrony danych osobowych.
Jak oceniać komunikat?
To trudne zadanie. Z jednej strony w komunikacie znajdziemy stwierdzenie, że nie jest on źródłem prawa, a w zasadzie prezentuje jedynie wnioski z przeprowadzonej analizy, a z drugiej mamy wyraźne oczekiwania w tym zakresie (skądinąd słuszne).
Z trzeciej strony poruszana tutaj tematyka wkracza w tematykę zarezerwowaną m.in. dla UODO, a w samym dokumencie brakuje bardziej szczegółowych wyjaśnień co do przepisów o ochronie danych osobowych.
Może przydałyby się jakieś wspólne wytyczne?
Czytaj także: Czy w Polsce klienci będą zarządzać swoimi danymi tworzonymi i pozyskiwanymi na potrzeby usług finansowych?
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.