Profilowanie osób to także scoring kredytowy tworzony w oparciu o metody matematyczno-statystyczne (TSUE)

Czy scoring kredytowy oparty o statystyczne profilowanie osób jest sprzeczny z RODO? Czy dopuszczalne jest stosowanie metod matematyczno-statystycznych w celu analizy ryzyka kredytowego? Czy bank może odmówić udzielenia kredytu, bo mu tak wyszło z algorytmu — czy jednak zautomatyzowane przetwarzanie danych, choć dopuszczalne, musi spełniać ściśle określone warunki?


MIG-17 Mirosława Hermaszewskiego Wołów
Samolot MIG-17 Mirosława Hermaszewskiego w Wołowie (fot. Magdalena Rudak, CC BY-SA 4.0)

wyrok Trybunału Sprawiedliwości UE z 7 grudnia 2023 r. w/s SCHUFA Holding (Scoring) (C-634/21)
Zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu art. 22 ust. 1 RODO, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą.

Sprawa zaczęła się od odmowy zawarcia umowy kredytowej, a to ze względu na niski scoring dostarczony przez zewnętrzne biuro informacji kredytowej (firmę SCHUFA) — a sporządzany w oparciu o „metodę matematyczno-statystyczną” pozwalającą prognozować ryzyko.

Niedoszła klientka zwróciła się do firmy o udostępnienie dotyczących jej danych i ich usunięcie; w odpowiedzi SCHUFA przekazała podstawy obliczania scoringu — ale odmówiła wyjaśnienia zasad działania algorytmu, powołując się na ochronę tajemnicy przedsiębiorstwa (por. „Bank musi wyjaśnić przesłanki oceny scoringowej kredytobiorcy”).

Zainteresowana, która nie wyraziła zgody na scoring kredytowy oparty o profilowanie, uznała, że doszło w ten sposób do naruszenia przepisów o przetwarzaniu danych osobowych, a sąd rozpatrujący skargę postanowił zwrócić się, w trybie prejudycjalnym, do TSUE.

W wydanym dziś wyroku Trybunał Sprawiedliwości UE przypomniał, iż co do zasady zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie osób, które ma istotny wpływ na sytuację człowieka, jest zakazane (z określonymi wyjątkami).

art. 22 ust. 1-2 rozporządzenia 679/2016 o ochronie danych osobowych
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.


art. 4 pkt 4 RODO
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

Profilowaniem w rozumieniu art. 22 RODO jest m.in. tworzenie przez administratora automatycznych wartości prawdopodobieństwa na podstawie statystycznych metod analizy danych osobowych — na przykład scoring kredytowy. Kwestionowaną decyzją jest bowiem odmowa zawarcia umowy na podstawie oceny ryzyka kredytowego wynikającej z zastosowania określonego algorytmu scoringowego. Oprócz tego, że profilowanie jest dozwolone wyłącznie po spełnieniu jednego z trzech warunków (tj. jeśli jest niezbędne dla zawarcia lub wykonania umowy łączącej administratora i osobę, jest dozwolona prawnie lub też wynika z udzielonej zgody), administrator ma obowiązek zapewnić rzetelne i przejrzyste parametry podejmowania decyzji dotyczącej osoby, w szczególności powinien korzystać z prawidłowych matematycznych czy statystycznych procedur, a także wdrożyć środki zapobiegające dyskryminacji ze względu na przyjęte kryteria — a także zapewnić prawo do ludzkiej interwencji (motyw 71 RODO). Od prawidłowego spełnienia tych wymogów zależy m.in. ocena, czy dane osobowe są przetwarzane w sposób zgodny z prawem (art. 5 ust. 1 lit. a) RODO).
Co istotne w ocenie TSUE wykładnia przepisów o zautomatyzowanym przetwarzaniu danych nie może nie odnosić się sytuacji, kiedy czynności podejmuje nie administrator, który podejmuje finalną decyzję (bank, który nie zgodził się na kredyt), lecz podmiot zewnętrzny, który świadczy określone usługi w ramach outsourcingu (aczkolwiek de iure nie jest także procesorem).

Wszystkie te okoliczności, w tym ustalenie czy profilowanie nastąpiło w zgodzie z prawem i czy scoring kredytowy sporządzono w sposób odpowiadający przepisom prawa należą jednak do sądu krajowego (w tym miejscu TSUE wyraził pogląd, iż par. 31 BDSG (federalnej ustawy o ochronie danych osobowych) może naruszać RODO).

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

15 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
15
0
komentarze są tam :-)x