Procesy kredytowe a RODO – czy Prezes UODO oraz sądy zmienią dotychczasowe praktyki rynku finansowego?

Zanim przejdziemy do omówienia praktyki orzeczniczej sądów powszechnych oraz organu nadzoru, postaramy się udzielić odpowiedzi na najważniejsze pytanie: jak zapewnić zgodność procesów?

W celu spełnienia wymogów regulacyjnych, w naszej ocenie, warto dokonać przeglądu istniejących procedur i procesów przetwarzania danych osobowych w ramach procesów kredytowych pod kątem ich zgodności z przepisami prawa, wytycznymi organów nadzoru i wyrokami sądów.

Należy zweryfikować w szczególności:

1. czy procesy przetwarzania danych osobowych w procesach kredytowych są odpowiednio uwzględnione w rejestrze czynności przetwarzania danych osobowych?

2. czy w odniesieniu do procesów przetwarzania danych osobowych przeprowadzono analizę ryzyka, w tym ocenę skutków dla ochrony danych (DPIA)?

3. czy w procesie kredytowym dochodzi do profilowania i zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO oraz czy spełnione są odpowiednie wymogi z tym związane?

4. czy prawidłowo wyznaczono okresy retencji danych osobowych w ramach procesów kredytowych oraz reguły ich obliczania i egzekwowania?

Ramy prawne regulujące ochronę danych osobowych w procesach kredytowych są wielopłaszczyznowe i wynikają przede wszystkim z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) („RODO”), jak również ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2024 r. poz. 1646 z późn. zm.), w szczególności art. 105a.

RODO ustanawia kompleksowy zestaw zasad przetwarzania danych osobowych w Unii Europejskiej, w tym w Polsce. Kluczowe przepisy istotne dla procesów kredytowych obejmują:

• Artykuł 6 (Podstawy prawne przetwarzania): Artykuł ten określa warunki, w jakich przetwarzanie danych osobowych jest zgodne z prawem. W kontekście kredytowym zwykle opiera się on na umowie (art. 6 ust. 1 lit. b)), obowiązku prawnym (art. 6 ust. 1 lit. c)) lub prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f)). Ta ostatnia podstawa wymaga starannej analizy, uwzględniającej interesy osoby, której dane dotyczą, w zestawieniu z interesami instytucji kredytowej (tzw. test równowagi). Każda podstawa musi być jasno określona i udokumentowana.
• Artykuł 5 (Zasady dotyczące przetwarzania danych osobowych): Artykuł ten określa kluczowe zasady przetwarzania danych osobowych, w tym zgodność z prawem, uczciwość i przejrzystość; ograniczenie celu; minimalizacja danych; dokładność; ograniczenie przechowywania; integralność i poufność; oraz rozliczalność. Zasady te są fundamentalne dla zgodnego z prawem przetwarzania danych kredytowych.
• Artykuł 22 (Zautomatyzowane podejmowanie decyzji, w tym profilowanie): Artykuł ten ma kluczowe znaczenie w kontekście scoringu kredytowego. Ogranicza stosowanie wyłącznie zautomatyzowanego podejmowania decyzji o istotnych skutkach prawnych dla osób, chyba że zastosowane zostaną określone wyjątki, takie jak wyraźna zgoda lub umowa. Instytucje kredytowe muszą zapewnić przejrzystość i dać osobom możliwość zakwestionowania zautomatyzowanych decyzji. Wymaga się starannego rozważenia wpływu przetwarzania na prawa, wolności i prawnie uzasadnione interesy osoby, której dane dotyczą.
• Artykuły 13-14 (Informacje, które należy przekazać osobie, której dane dotyczą): administratorzy powinni informować osoby, których dane dotyczą, o gromadzeniu i przetwarzaniu ich danych osobowych.
• Artykuł 35 (Ocena skutków dla ochrony danych) Artykuł ten nakłada obowiązek na administratora, aby przed rozpoczęciem przetwarzania dokonał oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Obowiązek ten aktualizuje się w sytuacji, gdy dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

O znaczeniu zasad wynikających z przepisów o ochronie danych osobowych dla procesu oceny zdolności kredytowej świadczy coraz bogatsza praktyka orzecznicza sądów powszechnych oraz organu nadzoru (Prezesa Urzędu Ochrony Danych Osobowych, PUODO). Warto wspomnieć o kilku, wybranych przez nas, przykładach, które pojawiły się w ostatnim czasie.

Przykład 1: Decyzja wydana przez PUODO (sygn. DKN.5112.14.2022) ilustruje poważne naruszenie przepisów o ochronie danych osobowych przez polski bank. PUODO nałożył karę finansową przekraczającą 314 tys. zł za profilowanie danych klientów bez odpowiedniego uwzględnienia tego procesu w rejestrze czynności przetwarzania i bez przeprowadzenia wymaganej analizy skutków dla ochrony danych (DPIA). Decyzja ta podkreśla wagę przestrzegania wymogów RODO, w tym obowiązku przeprowadzania DPIA przed wdrożeniem procesów przetwarzania danych, które mogą generować ryzyko naruszenia praw i wolności osób, których dane dotyczą. Wysokość kary stanowi w naszej ocenie wyraźny sygnał, że organ nadzorczy surowo podchodzi do naruszeń w tym zakresie.

Przykład 2: Wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Schufa Holding (C-634/21) ma fundamentalne znaczenie dla procesu scoringu kredytowego. TSUE orzekł, że sam scoring kredytowy może stanowić zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO. Trybunał przyjął szerokie rozumienie całkowicie zautomatyzowanych decyzji i uznał, że to pojęcie obejmuje także pewne działania, które nie są podejmowane przez podmiot mający bezpośrednią relację umowną z osobą, której dane dotyczą. Oznacza to, że podmioty stosujące systemy scoringu muszą spełniać dodatkowe wymogi, gwarantujące prawa osób, których dane są przetwarzane. W szczególności, muszą one zapewnić odpowiednią informację o przetwarzaniu danych, prawo do wniesienia sprzeciwu oraz możliwość uzyskania interwencji ludzkiej. W naszej ocenie, w świetle ww. wyroku warto dokonać przeglądu i w razie potrzeby dostosowania istniejących systemów scoringu kredytowego do wymogów RODO, aby uniknąć naruszenia prawa i ewentualnych sankcji.

Przyklady 3 i 4: Wyroki Wojewódzkiego Sądu Administracyjnego (WSA) z dnia 6.03.2024 r. (sygn. II SA/WA 1098/23) i Naczelnego Sądu Administracyjnego (NSA) z 13.02.2025 r. (sygn. III OSK 6563/21) potwierdzają, w naszej ocenie, restrykcyjne podejście organów sądowych i nadzorczych do kwestii przetwarzania danych w procesach kredytowych. Oba wyroki, podtrzymujące decyzje PUODO, podkreślają wagę przeprowadzenia DPIA oraz brak podstawy prawnej do przetwarzania danych osobowych w sytuacji, gdy nie doszło do zawarcia umowy kredytowej. Sądy zaznaczyły, że brak zawarcia umowy nie legitymizuje przetwarzania danych, jeżeli nie istnieje inna, zgodna z prawem podstawa ich przetwarzania. Orzeczenia te stanowią, naszym zdaniem, istotne ostrzeżenie dla instytucji finansowych, podkreślając konieczność przestrzegania zasad RODO na każdym etapie procesu kredytowego, w tym starannego analizowania podstaw prawnych przetwarzania danych i przeprowadzania DPIA.

Przykład 5: Wyrok TSUE z dnia 27.02.2025 r. w sprawie Dun & Bradstreet Austria (C-203/22) podkreśla prawa osób, których dane są przetwarzane w procesach zautomatyzowanego podejmowania decyzji. Orzeczenie to podkreśla prawo podmiotu danych do uzyskania jasnego i zrozumiałego wyjaśnienia, w jaki sposób podjęto w stosunku do niego konkretną decyzję, opartą na zautomatyzowanym przetwarzaniu danych. Wyrok ten nakłada na administratorów danych obowiązek zapewnienia przejrzystości i udostępnienia informacji na temat logicznych podstaw decyzji, w tym parametrów algorytmów i czynników branych pod uwagę. Niezastosowanie się do tego obowiązku może skutkować naruszeniem RODO i pociągać za sobą odpowiedzialność prawną. W naszej ocenie, wyrok ten ma istotne implikacje dla instytucji kredytowych, które muszą zapewnić, aby procesy podejmowania decyzji były transparentne i zrozumiałe dla klientów, którzy w razie potrzeby mogą żądać szczegółowych wyjaśnień.