Przed lutowym posiedzenie Sejmu, na którym odbyło się  drugie czytanie projektu ustawy w związku z zapewnieniem stosowania rozporządzenia 2016/679, czyli RODO  Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, współtwórca projektu mówił, że wiosna jest realnym terminem wejścia w życie przepisów. I tak się stało. Wielka nowelizacja zmieniająca 168 ustaw zacznie obowiązywać od 4 maja.  Posłowie wprowadzili istotne poprawki do prawa bankowego, ustawy o działalności ubezpieczeniowej oraz ustawie o usługach płatniczych.

Poznamy kryteria oceny wiarygodności kredytowej

Na wniosek ubiegającego się o kredyt konsumenta bank przedstawi mu czynniki, w tym dane osobowe, które miały wpływ na ocenę zdolności kredytowej. Taki efekt będzie miała w praktyce zgłoszona w środę przez rząd i poparta przez posłów poprawka w prawie bankowym. – Ten przepis zobowiązuje banki do przedstawienia klientowi wyjaśnienia, dotyczącego tego, które dane osobowe miały wpływ na ostatecznie dokonaną ocenę zdolności kredytowej – mówił w Sejmie Karol Okoński, wiceminister cyfryzacji. Obowiązek ten będzie dotyczył zarówno sytuacji, gdy decyzja została podjęta w pełni zautomatyzowanym procesie, na podstawie tzw. algorytmów, jak i wówczas, gdy w jej podejmowaniu brał udział także człowiek. - Bank nie będzie mógł pobierać opłat za przekazywanie tych wyjaśnień - podkreślał wiceminister cyfryzacji Karol Okoński.

To sukces Fundacji Panoptykon, która zabiegała o taką zmianę od momentu, w którym pojawił się rządowy projekt tzw. ustawy sektorowej. - Decyzje kredytowe banków mają bezpośredni wpływ na życie milionów ludzi - przesądzają o tym, w jakich warunkach mieszkamy, czy będzie nas stać na pilną operację, czy wyślemy dzieci na dobre studia albo wyjedziemy na wymarzone wakacje - mówi Wojciech Klicki z Fundacji Panoptykon.  - Człowiek, któremu bank wystawia negatywną ocenę i odmawia kredytu może się znaleźć w trudnej sytuacji. Nie ma szans tego zmienić bez rzetelnej i pełnej informacji o podstawach takiej a nie innej decyzji. A przecież jej podstawą są dane osobowe – zaznacza Wojciech Klicki. I podkreśla, że zgodnie z poprawką nie wystarczy długa lista mniej lub bardziej istotnych czynników, wśród których mogłyby umknąć te, które miały największy wpływ i np. zdecydowały o odmowie udzielenia kredytu. – Klient pozna te elementy znaczące, np. że bank uznał, że firma w której pracuje ma złą sytuację finansową i może rozpocząć  restrukturyzację – tłumaczy Klicki. Dla banku do oceny wiarygodności wnioskodawcy, tzw. scoringu, może mieć też znaczenie stan cywilny, profil zawodowy, płeć, a nawet to, czy częściej kupujemy alkohol w niedzielę rano, czy w piątek wieczorem.

 


 

Bank zdecyduje o przyznaniu pożyczki na podstawie codziennych wydatków

Z drugiej strony bankowcom i firmom pożyczkowym udało się przekonać rząd i posłów do poprawki, która otwiera katalog danych używanych do automatycznego badania zdolności kredytowej. -  To szczególnie ważne dla zaawansowanych modeli scoringowych, które działają w pełni automatycznie, jak w wielu instytucjach zrzeszonych w naszym Związku – mówi  Jarosław Ryba, prezes Polskiego Związku Instytucji Pożyczkowych. Pierwotny projekt mówił, że banki i firmy pożyczkowe mogą przetwarzać wyłącznie dane z określonego katalogu liczącego 21 pozycji. Zawierał on. m.in.: płeć, wiek, zawód, wykształcenie, miejsce pracy.  Brakowało w nim m.in. danych dotyczących liczby składanych wniosków kredytowych czy wydatków. Za sprawą poprawki słowo „wyłącznie” zostało zamienione na „w szczególności. -Zamknięty katalog danych do profilowania nie jest wymagany przez RODO i nie występuje nigdzie na świecie - przekonywał Tadeusz Białek, przedstawiciel Związku Banków Polskich. Jego zdaniem zamknięty katalog spowodowałby, że nie byłoby możliwości sięgnięcia do danych niezbędnych do oceny zdolności kredytowej, w efekcie w szczególnych sytuacjach klient nie będzie mógł uzyskać kredytu, np. na leczenie.

Za sprawą poprawek bank będzie mógł oceniać zdolność kredytową na podstawie innych kryteriów, ale na wniosek klienta będzie musiał ujawnić, jakie konkretnie informacje wziął pod uwagę, wyliczając nasz „wskaźnik wiarygodności.

 



Ubezpieczyciele mają podstawę do przetwarzania danych zdrowotnych

Z kolei do ustawy o działalności ubezpieczeniowej i reasekuracyjnej posłowie wprowadzili podstawę do przetwarzania danych o stanie zdrowia, i to wbrew stanowisku Urzędy Ochrony Danych Osobowych i Ministerstwa Finansów. Zgodnie z poprawką zakład ubezpieczeń przetwarza dane dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenie odpowiednio w celu oceny ryzyka lub wykonywania umowy w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia. - Oznacza to, że zakłady ubezpieczeń nie będą pytać o zgodę klientów, bo ta poprawka to ustawowa podstawa przetwarzania danych o ich stanie zdrowia - wyjaśnia Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński.

- Dzięki  tej autopoprawce, ubezpieczyciel będzie mógł tak jak do tej pory, odpowiednio szacować ryzyko i prawidłowo wykonywać swoje obowiązki wynikające z umowy – mówi Marcin Tarczyński z Polskiej Izby Ubezpieczeń. - W tej chwili już 9 krajów Europy uznało że brak prawa ubezpieczycieli do przetwarzania danych dotyczących zdrowia bez dodatkowych zgód, to zły kierunek. Pozbawienie ubezpieczycieli możliwości przetwarzania danych dotyczących zdrowia mogłoby skutkować ograniczeniem dostępu do oferty ubezpieczeniowej – podkreśla Tarczyński.

Jan Byrski, adwokat i partner w kancelarii Traple Konarski Podrecki zwraca uwagę na inną kwestią. Otóż ubezpieczycielom, w przeciwieństwie do banków,  pozostawiono zamknięty katalog danych do profilowania w celu oceny ryzyka ubezpieczeniowego. Składa się on z 20 pozycji, w tym stanu zdrowia, miejsca zamieszkania, charakteru wykonywanej pracy, przebiegu ubezpieczenia, sytuacji finansowej.

Instytucje płatnicze też nie muszą mieć zgód

Komisje sejmowe wprowadziły też zmianę w projektowanym art. 10a ustawy o usługach płatniczych.  - Dzięki niej nie będzie budzić żadnych wątpliwości, że banki i inni dostawcy usług płatniczych mają prawo, a czasem wręcz obowiązek, przetwarzać dane osobowe użytkowników niezbędne do świadczenia usług płatniczych nie tylko na podstawie ich zgody, ale również na innych podstawach - uważa Bartosz Wyżykowski, radca prawny w dLK Legal.

Poprawka wykreśla ust. 2, który mówił o tym, że dostawcy usług płatniczych mogliby przetwarzać dane osobowe użytkowników tylko i wyłącznie na podstawie ich zgód, z wyłączeniem możliwości powoływania się na inne podstawy prawne. - Taki zapis narażał te podmioty na nieprzewidywalne skutki prawne - tłumaczy Bartosz Wyżykowski.  - Przykładowo, w efekcie wycofania zgody przez użytkownika dostawca nie mógłby przetwarzać jego danych np. w celu dochodzenia swoich roszczeń, albo w celu podjęcia obrony przed roszczeniami kierowanymi przez użytkownika. Co prawda w uzasadnieniu do projektu wskazano, że pojęcie zgody należy rozumieć „w kontekście celów i zakresu ustawy o usługach płatniczych”, jednak z uwagi na sprzeczność uzasadnienia z literalnym brzmieniem przepisu budziłby on w przyszłości duże wątpliwości interpretacyjne i prowadził do głębokiego stanu niepewności prawnej. A za naruszenie przepisów o ochronie danych osobowych przedsiębiorcom grożą wysokie sankcje administracyjne - podkreśla ekspert.

Warto przypomnieć, że pierwsza kara nałożona prezes Urzędu Ochrony Danych Osobowych wynosi prawie milion złotych. Spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane.

Sprawdź w LEX SIP jak wygląda kontrola UODO:

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>