ZBP krytycznie o projekcie ustawy sektorowej RODO
W Sejmie trwają prace nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, czyli przepisów dostosowujących polski porządek prawny do pełnego stosowania RODO.
Zbyt daleko idące propozycje zmian
W grudniu ubiegłego roku utworzona została specjalna podkomisja, której celem jest dalsze procedowanie wspomnianego dokumentu. Okazuje się jednak, iż niektóre spośród zaproponowanych przez rząd rozwiązań mogą mieć fatalne skutki dla funkcjonowania sektora bankowego i całego rynku finansowego, a do tego nie są w żadnym stopniu konieczne dla uczynienia zadość wymogom RODO.
Wprowadzenie tych zapisów w obecnym kształcie do porządku prawnego można znacząco obniżyć skuteczność oceny zdolności kredytowej Polaków, a nawet osłabić funkcjonowanie systemu zapobiegania cyberprzestępstwom. Na problemy te zwraca uwagę w obszernym komentarzu dr Tadeusz Białek, dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich:
W ocenie ZBP projektowane zmiany w ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (dalej: Prawo bankowe), zakładane obecnie na gruncie rządowego projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, w istotnie negatywny sposób wpłyną na prawidłowe funkcjonowanie, stabilność oraz bezpieczeństwo sektora finansowego.
Kłopot z oceną klienta
Dotyczy to w szczególności określenia na poziomie ustawy (Prawa bankowego) zamkniętego katalogu danych osobowych wykorzystywanych do profilowania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (projektowany art. 105a ust. 1b Prawa bankowego). Zdaniem ZBP tak określona konstrukcja spowoduje znaczące pogorszenie jakości używanych przez banki narzędzi analitycznych, a w konsekwencji – zwiększoną liczbę niedokładnych ocen klientów.
Należy przy tym podkreślić, iż według posiadanej przez ZBP wiedzy, zarówno w UE z bezpośrednio stosowanym RODO, jak i nigdzie na świecie nie ma tak określonego, zamkniętego katalogu. Komisja Europejska czyni pewne kroki wyłącznie w zakresie określenia minimalnego – nie zaś zamkniętego – zakresu danych niezbędnych do oceny zdolności kredytowej.
Wyższe ryzyko, wyższe koszty dla klienta
Jednocześnie należy spodziewać się, że ograniczony katalog zmiennych wykorzystywanych w procesach kredytowych spowoduje obniżoną efektywność oceny ryzyka, szczególnie w przypadku nowych, nieznanych Klientów. W wyniku niższej efektywności modeli wzrośnie ryzyko kredytowe portfela, w związku z czym instytucje mogą ograniczyć akcję kredytową lub zaakceptują podwyższone ryzyko kredytowe, ale jego koszty będą musiały przenieść na kredytobiorców.
Należy podkreślić, iż w ocenie ZBP brak jest możliwości określenia zamkniętego katalogu danych wykorzystywanych do oceny zdolności kredytowej oraz analizy ryzyka kredytowego. Postulat dot. umieszczenia w Prawie bankowym przepisów określających katalog (kategorie) przetwarzanych danych osobowych w odniesieniu do zautomatyzowanego przetwarzania, w tym profilowania, z przyczyn obiektywnych może zostać spełniony jedynie poprzez wskazanie ogólnych kategorii danych, jakie podlegają profilowaniu, i to w sposób niewyczerpujący.
Z powyższych powodów w swych dotychczasowych stanowiskach ZBP w sposób konsekwentny rekomenduje pozostawienie otwartego katalogu danych wykorzystywanych w ocenie zdolności kredytowej oraz analizy ryzyka kredytowego.
Zdaniem ZBP za negatywne rozwiązanie należy również uznać proponowane w projekcie ustawy (projektowany art. 105a ust. 1a Prawa bankowego) uzależnienie możliwości podejmowania decyzji (w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – w tym informacji stanowiących tajemnicę bankową – od zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.
Propozycje niezgodnie z RODO?
Przede wszystkim należy wskazać, iż projektowany art. 105a ust. 1a Prawa bankowego jest w tym zakresie niezgodny z RODO, ponieważ zgodnie z art. 22 ust. 3 RODO prawo do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu – nie znajduje zastosowania w sytuacji, gdy uprawnienie do wydawania zautomatyzowanych decyzji wynika wprost z przepisu prawa Unii Europejskiej lub Państwa Członkowskiego (czyli w tym przypadku właśnie wprowadzanego art. 105a ust. 1a Prawa bankowego).
Ponadto ZBP chciałby podkreślić, iż „właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą”, o których mowa w przesłance oparcia profilowania na przepisie prawa (art. 22 ust. 2 lit. b RODO), wynikają wprost z obecnie obowiązujących przepisów Prawa bankowego.
Obecny reżim tajemnicy bankowej funkcjonujący na gruncie przepisów Prawa bankowego zapewnia bowiem ochronę praw, wolności i prawnie uzasadnionych interesów osób, których dane dotyczą, idącą znacznie dalej niż ogólne uregulowania dotyczące ochrony danych osobowych (zarówno w odniesieniu do poprzedniej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, jak i obecnych regulacji RODO).
Prawo klienta do otrzymania wyjaśnień w sprawie decyzji kredytowej
Z tego też względu za nieuzasadniony i niezgodny z RODO należy uznać postulat dodania nowego art. 105a ust. 1a Prawa bankowego, który miałby określać dodatkowe warunki dotyczące podejmowania decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych, w tym informacji stanowiących tajemnicę bankową.
Nie zgadzając się na proponowane brzmienie ww. przepisu, ZBP postuluje jednocześnie, aby projektowany art. 105a ust. 1a Prawa bankowego zastąpić uzupełnieniem obecnego art. 70 Prawa bankowego o nowy przepis dotyczący prawa Klienta banku do otrzymania wyjaśnień dotyczących podstaw podjętej decyzji kredytowej (zarówno w stosunku do decyzji zautomatyzowanych, jak i podjętych z udziałem człowieka), co należałoby uznać za jedyną stosowną zmianę w tymże zakresie.
Tak określona propozycja byłaby zgodna w szczególności z art. 15 RODO, w którym zapewnia się podmiotowi danych prawo dostępu do danych oraz prawa do informacji o zasadach podejmowania zautomatyzowanych decyzji, jak również stanowiłaby spójne rozszerzenie dotychczas obowiązującego art. 70 ust. 5 Prawa bankowego, który przyznaje przedsiębiorcom prawo do otrzymania wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej.
Kolejną, niezwykle istotną wadą obecnego projektu ustawy jest również – pomimo wielokrotnych postulatów ZBP – brak odniesienia do instytucji profilowania w art. 106d Prawa bankowego, który to przepis stanowi podstawę funkcjonowania systemów antyfraudowych (wewnątrzbankowych i zewnętrznych – SWOZ Związku Banków Polskich i Platforma Antyfraudowa BIK S.A.). Przetwarzanie i wymiana danych, o której stanowi przepis art. 106d Prawa bankowego, pozwala na zapobieganie przestępstwom popełnianym na szkodę instytucji finansowych i ich Klientów (np. posługiwanie się fałszywymi dokumentami czy składanie fałszywych oświadczeń), wzmacniając bezpieczeństwo prowadzonej działalności oraz środków pieniężnych (depozytów) Klientów zgromadzonych w tych podmiotach.
Przetwarzanie danych a bezpieczeństwo depozytów
Ponadto w obecnie projektowanych przepisach nie uwzględniono podnoszonej wielokrotnie przez ZBP uwagi, że – ze względu na art. 10 RODO odwołujący się do konieczności zamieszczenia w prawie krajowym podstaw do przetwarzania informacji o wyrokach skazujących – niezbędnym jest uzupełnienie treści art. 106d Prawa bankowego o możliwość przetwarzania w bankach i systemach antyfraudowych informacji o wyrokach skazujących.
W tym też względzie ZBP chciałby podkreślić, iż aktualnie – z uwagi na bezpieczeństwo i ochronę depozytów – banki muszą przetwarzać informacje o wyrokach skazujących przestępców bankowych (przestępczych pracowników bankowych, zorganizowanych przestępców wyłudzających kredyty, oszustów bankowych itd.). Co więcej, same sądy przesyłają do banków i ZBP (prowadzącego na podstawie art. 106d Prawa bankowego System SWOZ) takie wyroki celem ich dystrybucji (zwłaszcza w przypadku dodatkowo orzeczonego środka karnego, jakim jest zakaz wykonywania zawodu).
Reasumując – jeżeli tzw. ustawa sektorowa RODO przyjęta zostanie w obecnie zakładanym kształcie, w ocenie ZBP w znacząco negatywny sposób wpłynie ona na prawidłowe funkcjonowanie, stabilność oraz bezpieczeństwo sektora finansowego.
(opracował Karol Jerzy Mórawski)