Kolor samochodu, miejsce pracy, płeć, sposób korzystania z karty kredytowej, a nawet to, czy częściej kupujemy alkohol w niedzielę rano czy w piątek wieczorem, może mieć wpływ na naszą wiarygodność w oczach banków i ubezpieczycieli. Modele oceny punktowej (tzw. scoring) to pilnie strzeżona tajemnica handlowa instytucji finansowych. Kontroluje je Komisja Nadzoru Finansowego, może do nich zajrzeć Urząd Ochrony Danych Osobowych – ale każdy, kto chciałby zweryfikować własny profil i sprawdzić, co wpłynęło na ocenę punktową, napotka ścianę. Co na to RODO?
Kiedy system mówi „nie"
Przed wejściem w życie RODO dużo się mówiło o zmianach związanych z profilowaniem. Kto i w jakich celach będzie mógł to robić? Co z bankami i innymi instytucjami, które muszą oceniać swoich klientów, bo od tego zależy ich stabilność i tego wymagają od nich regulatorzy? Nic dziwnego, że dyskusja o dopuszczalności profilowania budziła duże emocje, skoro w grę wchodziły poważne interesy finansowe. Fakty jednak są takie, że w tej sferze RODO nie wprowadziło większej rewolucji. Profilowanie jak było, tak jest dopuszczalne. Dzięki RODO może co najwyżej stać się bardziej przejrzyste.
Czytaj też:
RODO: 20 rzeczy, które musisz wiedzieć o RODO
RODO: klient musi wiedzieć, na co się godzi
Na długo przed RODO w polskim prawie o ochronie danych osobowych pojawił się zakaz podejmowania ostatecznych rozstrzygnięć w indywidualnych sprawach wyłącznie w oparciu o „przetwarzanie danych w systemie informatycznym" (art. 26a UODO). Chodziło o decyzje podejmowane automatycznie, bez udziału człowieka. Dobrym przykładem jest sytuacja, w której wpisujemy dane do formularza online, żeby dowiedzieć się, czy dostaniemy pożyczkę w banku, po czym pojawia się komunikat z odmową, od której nie ma odwołania. Według starych przepisów taka odmowa powinna być zweryfikowana przez człowieka.
RODO zawiera bardzo podobny przepis (art. 22), zgodnie z którym mamy prawo „nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu", jeśli wywołuje ona dla nas skutki prawne lub w istotny sposób wpływa na naszą sytuację. Tej regule towarzyszą jednak dość pojemne wyjątki: wystarczy, że takie automatyczne rozstrzygnięcie jest niezbędne do zawarcia umowy (np. bank musi zweryfikować naszą zdolność kredytową, a nie jest w stanie zrobić tego rękami swoich pracowników), pozwala na nie przepis prawa (np. prawo bankowe) albo sami się na nie zgodziliśmy (bo dostrzegliśmy w tym swój interes).
Spór o prawo do wyjaśnienia
Żeby rozwiać wątpliwości co do tego, co wolno instytucjom udzielającym kredytów i pożyczek, polski ustawodawca zamierza wprowadzić w prawie bankowym przepis, który pozwala dokonywać oceny zdolności kredytowej i analizy ryzyka wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych. Banki muszą jednak zapewnić swoim klientom prawo do wyjaśnienia podstaw podjętej decyzji, prawo do jej zakwestionowania, prawo do wyrażenia własnego stanowiska i do uzyskania tzw. interwencji ludzkiej – czyli rozmowy z pracownikiem.
Co to oznacza w praktyce? Niestety, w kontekście scoringu i decyzji kredytowych (jeszcze) nie mamy jednoznacznych odpowiedzi. Pewne jest, że RODO daje nam prawo do wyjaśnienia w sytuacji, w której decyzja o przyznaniu albo odmowie udzielenia kredytu czy pożyczki została podjęta bez udziału człowieka – również wtedy, kiedy np. chcemy zrozumieć, dlaczego zaproponowane nam warunki są niekorzystne. Ale czy w ramach tego wyjaśnienia możemy się dowiedzieć, co wpłynęło (negatywnie) na nasz scoring? Czy mamy prawo do wyjaśnienia również wtedy, kiedy w decyzję był zaangażowany człowiek, ale tak naprawdę przeważyła ocena punktowa (lub inna podpowiedź automatycznego systemu)?
Według Związku Banków Polskich, który opracował dla tej branży kodeks dobrych praktyk w zakresie przetwarzania danych osobowych [LINK], model scoringowy to tajemnica przedsiębiorstwa, a klienci nie mają prawa do wyjaśnienia, dlaczego system przyznał im taką, a nie inną ocenę. Zgodnie z tą interpretacją ocena punktowa to zwykłe profilowanie, czyli takie przetwarzanie danych, które zmierza do ustalenia naszych charakterystyk („wiarygodny/niewiarygodny"), ew. przewidzenia, jak się zachowamy w przyszłości („spłaci / nie spłaci"). To jeszcze nie jest decyzja mająca skutki prawne („nie dostaniesz tej pożyczki") – a przecież RODO przewiduje prawo do wyjaśnienia tylko w przypadku automatycznie podjętych decyzji, nie ocen.
Jeszcze ocena czy już decyzja?
To prawda, że modele scoringowe nie „wypluwają" decyzji kredytowych, tylko oceny odzwierciedlające to, jak korzystamy z kart kredytowych i innych instrumentów finansowych, jaki mamy styl życia, poziom wydatków, stosunek do ryzyka, a może i profil psychologiczny. Nie wiemy na pewno, bo ich zasady działania są chronione tajemnicą przedsiębiorstwa. Te oceny są jednak generowane automatycznie i wpływają na to, jak potraktuje nas bank. Jeśli pójdziemy tym tropem, wynik oceny punktowej można uznać za rodzaj automatycznie podjętej decyzji, która (mimo że nie ma skutków prawnych) istotnie wpływa na naszą sytuację. Taka interpretacja otwiera nam drogę do żądania wyjaśnień.
Już dziś bankowcy potwierdzają, że wynik scoringu to jedna z trzech głównych zmiennych decydujących o tym, czy dostaniemy kredyt lub pożyczkę i na jakich warunkach. W przyszłości znaczenie automatycznych ocen może się jeszcze zwiększyć. Przy ogromnej skali transakcji bankowych i rosnącej masie dostępnych danych wydaje się nieuchronne, że pracownicy banków coraz chętniej będą się opierać na automatycznych podpowiedziach. Trudno oczekiwać, że zawalony masą wniosków doradca kredytowy zakwestionuje ocenę punktową, jaką uzyskał z potężnego systemu informatycznego wykorzystującego tzw. big data, tylko dlatego, że on sam ma inną ocenę wiarygodności klienta, który przed nim siedzi.
Przejrzystość to podstawa
Nie kwestionujemy tego, że banki i podobne instytucje powinny oceniać wiarygodność i zdolność kredytową swoich klientów, zanim pożyczą im pieniądze. Uważamy jednak, że w każdej sytuacji, w której taka decyzja bazuje na naszych danych osobowych i ich automatycznym przetwarzaniu, powinniśmy mieć prawo do wyjaśnienia jej podstaw. Nawet jeśli decyzję o przyznaniu kredytu lub pożyczki formalnie podejmuje człowiek – ale w oparciu o naszą ocenę punktową czy inny wskaźnik – powinniśmy mieć prawo poznać szczegóły i je zakwestionować. Czy system wziął pod uwagę nasze dochody, wydatki i historię spłacania innych zobowiązań, czy też naszą płeć i pozycję zawodową? A może również profil psychologiczny i preferencje kolorystyczne, z którymi wcale się nie identyfikujemy? Mamy prawo to wiedzieć.
Jest za wcześnie, by stwierdzić, czy i w jaki sposób przepisy RODO (wprowadzające dodatkowe gwarancje dla zautomatyzowanych decyzji) będą stosowane do samego scoringu. O tym przesądzą pierwsze sprawy sądowe i decyzje takich organów jak Urząd Ochrony Danych Osobowych. Nie ma jednak wątpliwości co do tego, że banki powinny ujawniać swoim klientom wszystkie dane, jakie na ich temat przetwarzają.
Nawet jeśli ze względu na tajemnicę przedsiębiorstwa nie są one skłonne powiedzieć, jaką wagę przypisują konkretnym informacjom w modelach scoringowych, mają obowiązek pokazać nam pełen zakres przetwarzanych danych. Nie chodzi o kategorie (np. dane o sytuacji finansowej), ale o konkretne informacje (np. poszczególne transakcje z karty i wnioski, jakie zostały z nich wyciągnięte). Mamy prawo wiedzieć, czy bank profiluje nas ze względu na wiek i historię zakupów, czy raczej ze względu na pozycję zawodową i terminowość w spłacaniu zobowiązań. To są nasze dane.
Katarzyna Szymielewicz jest prawniczką, prezesem fundacji Panoptykon