RODO: Kontrole PUODO profilowanie banki

Analysis

RODO: Profilowanie w sektorze bankowym i ubezpieczeniowym – nowe przepisy

Newsletter: RODO #30 | marzec 2019 r.

24 stycznia 2019 roku Prezes Urzędu Ochrony Danych Osobowych opublikował „Roczny plan kontroli sektorowych na 2019 rok”. Znalazło się w nim również profilowanie w sektorze bankowym i ubezpieczeniowym.

Podmioty sektora finansowego często dysponują dużą ilością danych o klientach (np. mają dostęp do historii rachunku, co pozwala zidentyfikować preferencje, czy styl życia klientów). Dane te charakteryzują się również dużym stopniem wrażliwości. Kluczowe dla działalności zakładów ubezpieczeń w sektorze ubezpieczeń na życie i zdrowotnych jest przetwarzania tzw. szczególnych kategorii danych, którymi są m.in. informacje o stanie zdrowia.

Banki i zakłady ubezpieczeń stosują profilowanie klientów, które w świetle RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, np. do analizy lub prognozy aspektów dotyczących sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania. W niektórych przypadkach instytucje te stosują algorytmy i modele scoringowe, które w sposób zautomatyzowany na podstawie określonych danych o osobie przyporządkowują ją do określonej kategorii i np. „decydują” o warunkach kredytu lub o odrzuceniu wniosku kredytowego, czy też o wysokości składki ubezpieczeniowej. 

Profilowanie odgrywa zatem istotną rolę w działaniu instytucji sektora finansowego, m.in. dlatego, że jest metodą usprawniania procesu podejmowania decyzji oraz rozpatrywania wniosków. Pozwala również na zautomatyzowanie procesów, których wykonywanie przez człowieka byłoby dużo bardziej czasochłonne. Z drugiej strony, decyzje podjęte na podstawie profilowania (również zautomatyzowanego) mogą istotnie wpływać na klientów instytucji sektora finansowego.

Katarzyna Sawicka, Managing Associate, Deloitte Legal

Przypisanie osobie określonych cech może mieć bezpośrednie przełożenie na warunki świadczenia jej usług. Polski ustawodawca zdecydował się zatem wprost uregulować niektóre kwestie związane z profilowaniem w sektorze bankowym i ubezpieczeniowym, poprzez zaprojektowanie zmian do prawa bankowego oraz do ustawy o działalności ubezpieczeniowej i reasekuracyjnej.

Odnośnie banków ustawodawca wprost zaproponował dopuszczenie podejmowania decyzji, opierając się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych (w tym profilowaniu), jednak wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W tych przypadkach ustawodawca dopuszcza zatem tzw. kwalifikowane profilowanie, o którym mowa w art. 22 ust. 1 RODO. Ustawodawca zaproponował przy tym przykładowy katalog danych, które mogą być przetwarzane w tym celu. Należy uznać to za pozytywną zmianę w porównaniu z poprzednim projektem, który przewidywał zamknięty katalog danych, co mogłoby utrudniać budowanie efektywnych modeli scoringowych. Jednocześnie podkreśla się, że zautomatyzowane przetwarzanie danych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego powinno następować z poszanowaniem zasady minimalizacji, tj. bank powinien opierać się wyłącznie na danych niezbędnych. W praktyce mogą pojawić się kontrowersje związane z tym, czy dokładność modeli scoringowych jest przesłanką niezbędności przetwarzania większej ilości danych. Co istotne, wspomniane decyzje nie mogą być podejmowane w oparciu o tzw. szczególne kategorie danych, czyli np. dane o stanie zdrowia, czy światopoglądzie. W przepisach ustawy brak również uprawnienia do przetwarzania przez banki dla celów scoringu danych o wyrokach skazujących i naruszeniach prawa.

Ponadto, prawo bankowe wprost zapewnia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany m.in. prawo do otrzymania wyjaśnień co do podstaw podjętej decyzji. Dotyczy to zarówno osób, wobec których została wydana pozytywna decyzja kredytowa, jak i tych, którym odmówiono udzielenia finansowania. 

Nie oznacza to, że banki będą musiały ujawniać klientom zasady funkcjonowania swoich algorytmów (które uważane są często za tajemnicę przedsiębiorstwa), co raczej wyjaśnić, jakie czynniki zadecydowały o podjęciu konkretnej decyzji. Osoba, której decyzja dotyczy będzie miała również domagać się interwencji ludzkiej w celu zweryfikowania decyzji, co może stanowić niejako odpowiedź na niedoskonałości modeli scoringowych.

Katarzyna Sawicka, Managing Associate, Deloitte Legal

Przepisy ustawy o działalności ubezpieczeniowej i reasekuracyjnej dotyczące podejmowania decyzji w oparciu o zautomatyzowane przetwarzanie zostały sformułowane nieco inaczej niż analogiczne przepisy prawa bankowego. W tym przypadku ten rodzaj przetwarzania może mieć zastosowanie dla celów oceny ryzyka ubezpieczeniowego i wykonywania niektórych czynności ubezpieczeniowych (ustalania przyczyn i okoliczności zdarzeń losowych oraz ustalania wysokości szkód oraz rozmiaru odszkodowań oraz innych świadczeń należnych uprawnionym). Przy czym ustawa przewiduje zamknięty katalog danych osobowych, które mogą być przetwarzane w tym celu. Katalog ten może okazać się niewystarczający w przypadku ustalania przyczyn i okoliczności zdarzeń losowych, gdzie istotne jest zgromadzenie dokładnych informacji dotyczących stany faktycznego.

Ponadto, nowe przepisy przewidują dla zakładów ubezpieczeń możliwość przetwarzania danych, o których mowa powyżej bez zgody osób, których te dane dotyczą dla celów ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw przez okres do 12 lat od dnia rozwiązania umowy ubezpieczenia.
 

Did you find this useful?