Na długo przed RODO w polskim prawie o ochronie danych osobowych pojawił się zakaz podejmowania ostatecznych rozstrzygnięć w indywidualnych sprawach wyłącznie w oparciu o „przetwarzanie danych w systemie informatycznym" (art. 26a UODO). Chodziło o decyzje podejmowane automatycznie, bez udziału człowieka. Dobrym przykładem jest sytuacja, w której wpisujemy dane do formularza online, żeby dowiedzieć się, czy dostaniemy pożyczkę w banku, po czym pojawia się komunikat z odmową, od której nie ma odwołania. Według starych przepisów taka odmowa powinna być zweryfikowana przez człowieka.
RODO zawiera bardzo podobny przepis (art. 22), zgodnie z którym mamy prawo „nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu", jeśli wywołuje ona dla nas skutki prawne lub w istotny sposób wpływa na naszą sytuację. Tej regule towarzyszą jednak dość pojemne wyjątki: wystarczy, że takie automatyczne rozstrzygnięcie jest niezbędne do zawarcia umowy (np. bank musi zweryfikować naszą zdolność kredytową, a nie jest w stanie zrobić tego rękami swoich pracowników), pozwala na nie przepis prawa (np. prawo bankowe) albo sami się na nie zgodziliśmy (bo dostrzegliśmy w tym swój interes).
Spór o prawo do wyjaśnienia
Żeby rozwiać wątpliwości co do tego, co wolno instytucjom udzielającym kredytów i pożyczek, polski ustawodawca zamierza wprowadzić w prawie bankowym przepis, który pozwala dokonywać oceny zdolności kredytowej i analizy ryzyka wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych. Banki muszą jednak zapewnić swoim klientom prawo do wyjaśnienia podstaw podjętej decyzji, prawo do jej zakwestionowania, prawo do wyrażenia własnego stanowiska i do uzyskania tzw. interwencji ludzkiej – czyli rozmowy z pracownikiem.
Co to oznacza w praktyce? Niestety, w kontekście scoringu i decyzji kredytowych (jeszcze) nie mamy jednoznacznych odpowiedzi. Pewne jest, że RODO daje nam prawo do wyjaśnienia w sytuacji, w której decyzja o przyznaniu albo odmowie udzielenia kredytu czy pożyczki została podjęta bez udziału człowieka – również wtedy, kiedy np. chcemy zrozumieć, dlaczego zaproponowane nam warunki są niekorzystne. Ale czy w ramach tego wyjaśnienia możemy się dowiedzieć, co wpłynęło (negatywnie) na nasz scoring? Czy mamy prawo do wyjaśnienia również wtedy, kiedy w decyzję był zaangażowany człowiek, ale tak naprawdę przeważyła ocena punktowa (lub inna podpowiedź automatycznego systemu)?
Według Związku Banków Polskich, który opracował dla tej branży kodeks dobrych praktyk w zakresie przetwarzania danych osobowych [LINK], model scoringowy to tajemnica przedsiębiorstwa, a klienci nie mają prawa do wyjaśnienia, dlaczego system przyznał im taką, a nie inną ocenę. Zgodnie z tą interpretacją ocena punktowa to zwykłe profilowanie, czyli takie przetwarzanie danych, które zmierza do ustalenia naszych charakterystyk („wiarygodny/niewiarygodny"), ew. przewidzenia, jak się zachowamy w przyszłości („spłaci / nie spłaci"). To jeszcze nie jest decyzja mająca skutki prawne („nie dostaniesz tej pożyczki") – a przecież RODO przewiduje prawo do wyjaśnienia tylko w przypadku automatycznie podjętych decyzji, nie ocen.
Jeszcze ocena czy już decyzja?
To prawda, że modele scoringowe nie „wypluwają" decyzji kredytowych, tylko oceny odzwierciedlające to, jak korzystamy z kart kredytowych i innych instrumentów finansowych, jaki mamy styl życia, poziom wydatków, stosunek do ryzyka, a może i profil psychologiczny. Nie wiemy na pewno, bo ich zasady działania są chronione tajemnicą przedsiębiorstwa. Te oceny są jednak generowane automatycznie i wpływają na to, jak potraktuje nas bank. Jeśli pójdziemy tym tropem, wynik oceny punktowej można uznać za rodzaj automatycznie podjętej decyzji, która (mimo że nie ma skutków prawnych) istotnie wpływa na naszą sytuację. Taka interpretacja otwiera nam drogę do żądania wyjaśnień.
