Jednym z aktów, w którym wprowadzono najwięcej zmian jest ustawa z dnia 29 sierpnia 1997 r. – Prawo Bankowe (Dz. U. z 2018 r. poz. 2187, 2243 i 2354 oraz z 2019 r. poz. 326).
Jak istotne są to zmiany?
Najważniejsze fragmenty nowelizacji
Art. 105 1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące kategorie danych: 1) dane dotyczące osoby fizycznej: a) imię (imiona) i nazwisko, b) nazwisko rodowe, c) imiona rodziców, d) datę i miejsce urodzenia, e) wiek, f) płeć, g) obywatelstwo, h) stan cywilny, i) serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, j) numer PESEL, o ile został nadany, k) numer identyfikacji podatkowej, o ile został nadany, l) adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji, m) tytuł prawny do zajmowanego lokalu, n) miejsce pracy, o) zawód, p) wykształcenie, q) formę zatrudnienia, r) sytuację finansową, w tym dochody i wydatki, s) osoby pozostające na utrzymaniu, t) ustrój majątkowy małżonków, 2) dane dotyczące zobowiązania: a) źródło zobowiązania, b) kwotę i walutę, c) numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, d) datę powstania zobowiązania, e) warunki spłaty zobowiązania, f) ustanowione zabezpieczenia prawne, g) przebieg realizacji zobowiązania, h) stan zadłużenia z tytułu zobowiązania, i) datę wygaśnięcia zobowiązania, j) przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, o której mowa w ust. 3, k) przyczyny wygaśnięcia zobowiązania. 1c. Decyzje, o których mowa w ust. 1a, nie mogą być podejmowane w oparciu o dane, o których mowa w art. 9 rozporządzenia 2016/679. |
Komentarz
Najważniejsze zmiany w prawie bankowym dotyczą kwestii oceny zdolności kredytowej. Nowelizacja umożliwia bankom oraz innym instytucjom udzielającym pożyczek podejmowanie decyzji wyłącznie w oparciu o zautomatyzowane przetwarzanie, w tym profilowanie danych osobowych.
Przepis ten należy czytać łącznie z odpowiednimi postanowieniami RODO. Zgodnie z jego art. 22: „ Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Powyższe nie ma zastosowania jeżeli decyzja taka: „a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego […],lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.” Naturalnie decyzja o udzieleniu kredytu wywołuje dla osoby skutek podobny do skutku prawnego, tak więc celem zmiany jest przyjęcie przepisu prawa, który pozwala bankom na podejmowanie takich zautomatyzowanych decyzji. Ww. przepis należy ocenić pozytywnie. W
przypadku braku istnienia upoważnienia ustawowego banki musiałyby opierać się albo na umowie z osobą albo na jej zgodzie. Jednakże w przypadku umowy istniałaby wątpliwość czy takie zautomatyzowane przetwarzanie jest faktycznie niezbędne do jej zawarcia. Decyzję o przyznaniu kredytu można przecież podjąć w tradycyjny sposób, tj. bez zautomatyzowanego przetwarzania.
Jeszcze większe wątpliwości istniałyby w przypadku oparcia się na zgodzie. Wszak musi być ona dobrowolna i nie może pociągać za sobą negatywnych skutków. Tutaj takim skutkiem byłaby zaś niemożność otrzymania kredytu. Ustawodawca zdecydował się również na doprecyzowanie katalogu danych, który może być wykorzystywany przy podejmowaniu ww. decyzji. Należy zauważyć, że jest on bardzo szeroki a ponadto, z uwagi na użyte sformułowanie „w szczególności”, nie jest enumeratywny.
W tym kontekście należy zwrócić uwagę na pewną kontrowersję. W uzasadnieniu do ustawy jest napisane: „podkreślenia wymaga, iż w celu podjęcia decyzji w oparciu o dane osobowe przetwarzane wyłącznie automatycznie, w tym poprzez profilowanie, bank będzie mógł wykorzystać tylko te dane, które zostały określone w dodawanym ust. 1b w art. 105a ustawy – Prawo bankowe.” Jednakże jak wskazano powyżej, z brzmienia przepisu wynika coś innego. Warto również podkreślić, że uniemożliwiono wykorzystywanie szczególnych kategorii danych, np. danych dotyczących stanu zdrowia, w celu podejmowania decyzji o przyznaniu kredytu.
Ustawa wprowadza również szereg pomniejszych zmian, dodano m. in. katalog danych, których można żądać od kandydata na członka zarządu lub rady nadzorczej banku, jak również doprecyzowano zasady udostępniania danych osobowych pomiędzy instytucjami finansowymi dotyczących osób podejrzewanych o popełnienie przestępstw.
Podsumowanie
Istotą zmian wprowadzonych nowelizacją jest zapewnienie istnienia podstawy prawnej dla instytucji udzielających pożyczek do podejmowania zautomatyzowanych decyzji w tym zakresie. Ponadto wprowadzono szereg pomniejszych zmian, porządkujących przepisy.