Działalność firmy scoringowej może się okazać niezgodna z przepisami o ochronie danych – zależnie od tego, jak bank wykorzysta otrzymaną od niej ocenę wypłacalności klienta.
Trybunał Sprawiedliwości Unii Europejskiej po raz pierwszy zajął się przepisami rozporządzenia o ochronie danych 2016/679 (dalej: RODO) dotyczącymi zautomatyzowanego podejmowania decyzji.
– Dotychczas, przez ponad pięć lat obowiązywania rozporządzenia, ten artykuł tylko sporadycznie pojawiał się w orzecznictwie, co może zaskakiwać, jeśli weźmie się pod uwagę dynamiczny rozwój technologii informacyjnych – mówi Sławomir Kowalski, adwokat z kancelarii GRC Legal.
Z pytaniami w tym zakresie zwrócił się do TSUE niemiecki sąd administracyjny, rozpatrujący sprawę biura informacji kredytowej Schufa. Chodziło m.in. o ustalenie, czy wykonywany przez tę firmę scoring stanowi zautomatyzowane podejmowanie decyzji – co do zasady zakazane w RODO (patrz: ramka).
Szeroka decyzja
Scoring jest matematyczną metodą obliczania prawdopodobieństwa określonego zachowania badanej osoby w przyszłości – np. tego, czy spłaci ona kredyt. Na podstawie uzyskanego wyniku (score) banki udzielają konsumentom kredytów albo nie.
W wydanym 7 grudnia orzeczeniu trybunał stwierdził, że jeżeli score odgrywa decydującą rolę przy udzielaniu pożyczek, to samo wyliczenie tej wartości (scoring) należy zakwalifikować jako zautomatyzowane podejmowanie decyzji.
– Mam problem z tym wyrokiem. Przeszkadza mi uzależnienie uznania scoringu za automatyczną decyzję lub nie – w zależności od następnej decyzji, podejmowanej przez inny podmiot – mówi dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.
Krytyczny jest też dr hab. Arwid Mednis, wykładowca Wydziału Prawa i Administracji Uniwersytetu Warszawskiego i wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
– Rozumiem prawotwórczą rolę TSUE, ale dokonane w tym orzeczeniu rozciągnięcie pojęcia zautomatyzowanej decyzji na etap profilowania zmienia w znaczący sposób dotychczasową interpretację przepisów, prezentowaną m.in. przez Europejską Radę Ochrony Danych – stwierdza.
Jak wyjaśnia dr Litwiński, firma scoringowa zawsze robi to samo: profiluje i ocenia osobę pod kątem wcześniej zdefiniowanych cech.
– Nie ma wpływu na to, co bank zrobi z dostarczonym mu wynikiem. Jeżeli podejmie decyzję kredytową wyłącznie na jego podstawie, to działalność firmy scoringowej jest zautomatyzowanym podejmowaniem decyzji. A jeśli weźmie pod uwagę też inne kryteria – to już nie. Nie przekonuje mnie takie podejście, bo aktywność Schufy czy innej firmy jest przez cały czas ta sama – stwierdza dr Litwiński. Jak dodaje, wykonywane przez takie podmioty profilowanie nie jest podejmowaniem decyzji.
– Rozumiem dążenie do ochrony nas wszystkich przed oceniającymi nas automatami, ale z prawnego punktu widzenia ten wyrok mi się po prostu nie spina, bo odwraca sytuację, przesuwając akcent z banku – który faktycznie podejmuje decyzje – na firmę scoringową – która tego nie robi – dodaje.
Arwid Mednis zwraca uwagę, że stosując art. 22 RODO do profilowania, TSUE dość pobieżnie potraktował samo pojęcie decyzji. Stwierdził tylko, że ponieważ może ono obejmować „szereg czynności mogących w różny sposób wpływać na osobę, której dane dotyczą”, to „jest wystarczająco szerokie”, aby objąć scoring.
– Decyzja to taka czynność, która sama w sobie rodzi określone skutki, w tym skutki prawne. A profilowanie żadnych skutków nie rodzi. Skutki pojawiają się dopiero na kolejnym etapie. Natomiast samo profilowanie jest tylko oceną, predykcją. Na przykład oceniamy, że dana osoba z dużym prawdopodobieństwem spłaci kredyt, lub przewidujemy, że klient, który kupił jedną rzecz, kupi też drugą – argumentuje Arwid Mednis.
Argument w reklamacji
– Ten wyrok brzmi nośnie, ale dotyczy sytuacji, która w ogóle nie powinna mieć miejsca – mówi z kolei Karolina Gałęzowska, inspektor ochrony danych i kierownik biura ochrony danych w Banku Millennium. Jak tłumaczy, profilowanie konsumentów i obliczanie na tej podstawie prawdopodobieństwa spłaty kredytu jest w prawie Unii dozwolone.
– Natomiast orzeczenie TSUE oznacza, że nie może dochodzić do tego, aby za decyzje wobec konsumentów – w tym wypadku dotyczące kredytów – de facto nikt nie odpowiadał. I to jest słuszne. Jednak samo pytanie postawione trybunałowi było moim zdaniem błędne – uważa nasza rozmówczyni.
TSUE badał stan faktyczny, gdzie firma wykonuje scoring, bank sprawdza punktację i wyłącznie na tej podstawie udziela kredytu albo nie.
– Takiej sytuacji być nie może. Oprócz RODO banki podlegają też innym regulacjom, które nie dopuszczają, aby ocena zdolności kredytowej konsumentów odbywała się wyłącznie na podstawie informacji firmy scoringowej. Banki biorą pod uwagę wiele innych czynników składających się na indywidualną sytuację konsumenta – podkreśla.
Przy czym instytucje finansowe nie ryzykują naruszenia RODO, co zapewnia im ustawa – Prawo bankowe (tj. Dz.U. z 2023 r. poz. 2488; patrz: grafika).
Także Biuro Informacji Kredytowej podkreśla, że jego scoring „jest tylko jednym z wielu czynników branych pod uwagę w procesie wydawania decyzji kredytowej przez bank”. W przesłanym nam komentarzu firma dodaje, że ta praktyka jest potwierdzona „w umowach z bankami i innymi podmiotami udzielającymi kredytów”.
– Trybunał rozważył sytuację, która z naszego punktu widzenia jest czysto teoretyczna. Mamy więc wiele hałasu o nic, bo, gdy scoring nie stanowi jedynej podstawy decyzji kredytowej, to jest dozwolony. Wyrok TSUE może jednak sprawić, że banki będą musiały to tłumaczyć konsumentom, którzy nie otrzymają kredytu i w reklamacji przywołają argument zautomatyzowanego podejmowania decyzji – podsumowuje Karolina Gałęzowska.
Nie tylko scoring
Arwid Mednis uważa, że konsekwencje orzeczenia TSUE mogą sięgnąć dalej.
– Profilowanie samo w sobie nie jest w RODO zakazane. Wyrok trybunału przenosi nas jednak na wyższy poziom restrykcji, bo zastosowanie logiki wyroku spowoduje, że i w innych dziedzinach sama ocena danej osoby stanie się zautomatyzowanym podejmowaniem decyzji. Na razie dotyczy to tylko sektora finansowego, ale mogę sobie wyobrazić, że jakiś organ ochrony danych zapyta, czym scoring różni się od oceny pracownika, profilowania konsumenckiego itd. – mówi ekspert. I dodaje, że konsumenci mogą się z tego cieszyć, bo ich dane zyskają większą ochronę, a proces oceny będzie podlegał wyższym wymaganiom. – Ale dla biznesu byłoby to utrudnienie – uważa Mednis.
Orzeczenie jest również sygnałem, że RODO już reguluje obszar, który w przyszłości znajdzie się w zakresie unijnego rozporządzenia – aktu o sztucznej inteligencji.
– Artykuł 22 RODO jest obecnie najbardziej konkretną, do tego już obowiązującą regulacją odnoszącą się do sztucznej inteligencji – mówi Sławomir Kowalski. Podkreśla, że w razie potrzeby RODO pozwala nakładać wysokie kary za naruszenia.
– Sprzeciw wobec automatycznego podejmowania w stosunku do człowieka decyzji opierających się na przetwarzaniu danych osobowych jest starszy od sztucznej inteligencji – zaznacza Paweł Litwiński. Taki był zasadniczy powód przyjęcia już w 1981 r. konwencji 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.©℗
/>
orzecznictwo
Podstawa prawna
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 7 grudnia 2023 r. (sprawa C-634/21) www.serwisy.gazetaprawna.pl/orzeczenia
