Automatyczne decyzje i kredyty: co mówi RODO o profilowaniu

Profilowanie i automatyczne decyzje kredytowe – o czym mówimy w praktyce

Tradycyjna ocena kredytowa vs automatyczny scoring oparty na AI

Ocena zdolności kredytowej przeszła drogę od ręcznej analizy dokumentów przez analityka, do w pełni zautomatyzowanych systemów scoringowych. Dawniej decyzję kredytową podejmował głównie człowiek: przeglądał zaświadczenia o dochodach, historię rachunku, rozmawiał z klientem i na tej podstawie szacował ryzyko. Algorytmy – jeśli w ogóle występowały – miały charakter pomocniczy, a odpowiedzialność za ostateczną decyzję spoczywała na analityku.

W modelu zautomatyzowanym kluczową rolę odgrywa system scoringowy, często oparty na modelach statystycznych lub rozwiązaniach AI. Dane o kliencie trafiają do systemu, który w kilka sekund nadaje mu wynik punktowy, a regulamin produktu określa progi: powyżej – decyzja pozytywna, poniżej – odmowa lub propozycja niższego limitu. Udział człowieka bywa marginalny lub żaden, zwłaszcza w procesach w pełni online.

Z punktu widzenia RODO różnica jest kluczowa. Tradycyjna ocena, nawet jeśli korzysta z prostego arkusza kalkulacyjnego, zwykle nie będzie traktowana jako zautomatyzowane podejmowanie decyzji w rozumieniu art. 22. Natomiast decyzja kredytowa zapadająca w całości na podstawie wyniku modelu scoringowego, bez realnej możliwości wpływu człowieka, wchodzi w obszar regulacji dotyczących profilowania na gruncie RODO i zautomatyzowanych decyzji wywołujących skutki prawne.

Jak instytucje finansowe wykorzystują profilowanie w praktyce

Profilowanie kredytowe nie ogranicza się do pojedynczej decyzji o przyznaniu kredytu. W instytucjach finansowych i fintechach modele scoringowe funkcjonują na wielu etapach relacji z klientem. Kilka typowych zastosowań:

• Wstępny scoring przy złożeniu wniosku – system ocenia ryzyko i decyduje, czy wniosek przejdzie do uproszczonej ścieżki „fast track”, czy wymaga dodatkowych dokumentów i analizy ręcznej.
• Oferty „pre-approved” – na podstawie danych historycznych, transakcyjnych lub z biur informacji kredytowej klient otrzymuje gotową propozycję kredytu lub podniesienia limitu, bez aktywnego wnioskowania.
• Zarządzanie limitem kredytu w czasie – profil klienta aktualizuje się wraz ze spłatami, opóźnieniami, zmianą dochodów; modele decydują o podwyższeniu, obniżeniu lub zablokowaniu limitu.
• Wykrywanie nadużyć i monitorowanie ryzyka – dane o zachowaniu klienta (wzorce transakcji, logowania, geolokalizacja) służą do automatycznego wykrywania anomalii i podejrzanych działań.

W każdym z tych przypadków powstaje profil – zestaw cech, wskaźników i predykcji przypisanych konkretnej osobie. Gdy na podstawie tego profilu system samodzielnie podejmuje decyzję o charakterze kredytowym, pojawia się zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO.

Granica między „zwykłą analizą” a profilowaniem z art. 4 pkt 4 RODO

RODO nie zakazuje profilowania, ale definiuje je w sposób dość szeroki. Nie każda analiza danych klienta będzie jednak profilowaniem w rozumieniu art. 4 pkt 4. Kluczowe elementy definicji to: zautomatyzowane przetwarzanie, ocena określonych aspektów oraz dążenie do przewidywania zachowań lub preferencji. Zwykłe przeliczenie miesięcznego dochodu na średnią czy zliczenie liczby aktualnych kredytów to po prostu przetwarzanie danych. O profilowaniu mówimy wówczas, gdy zestaw tych czynności prowadzi do zbudowania oceny – na przykład „klient wysokiego ryzyka”, „klient o niskiej stabilności finansowej” albo „klient skłonny do korzystania z produktów ratalnych”.

Granica jest szczególnie istotna tam, gdzie bank lub fintech chcą oprzeć się na uzasadnionym interesie i minimalizować obowiązki informacyjne. Z punktu widzenia nadzorcy, jeśli analiza danych prowadzi do zautomatyzowanego przypisania osobie konkretnych cech ryzyka, preferencji lub zachowań, a te cechy są następnie wykorzystywane do podejmowania decyzji, to w praktyce mamy do czynienia z profilowaniem, nawet jeśli po drodze pojawiają się elementy ręcznej weryfikacji.

Decyzja o limicie na karcie w kilka sekund – gdzie wchodzi RODO

Dobrym przykładem działania profilowania na gruncie RODO jest przyznanie limitu na karcie kredytowej online. Klient wypełnia krótki formularz, akceptuje zgody i regulaminy, a po chwili widzi komunikat: „Przyznano limit X zł” albo „Twoja aplikacja została odrzucona”. Proces z perspektywy użytkownika wygląda prosto, lecz w tle klasyczny model scoringowy analizuje dane osobowe: dochody, formę zatrudnienia, historię kredytową, dane z BIK, a nierzadko także zachowania w kanale cyfrowym.

Jeżeli wynik modelu jest bezpośrednio powiązany z decyzją, a pracownik nie wykonuje realnej, merytorycznej oceny, powstaje sytuacja „wyłącznie zautomatyzowanego podejmowania decyzji, w tym profilowania” z art. 22 RODO. W takim układzie bank lub fintech musi uwzględnić dodatkowe obowiązki: zapewnić odpowiednią podstawę prawną, przejrzystość algorytmu w rozsądnym zakresie, możliwość uzyskania interwencji człowieka i zakwestionowania decyzji.

Podstawy prawne – jak RODO definiuje profilowanie i decyzje wywołujące skutki prawne

Definicja profilowania z art. 4 pkt 4 RODO i jej trzy elementy

Profilowanie na gruncie RODO oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych osobowych czynników osoby fizycznej, w szczególności do analizy lub prognozy jej sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji czy przemieszczania się. W tej definicji kryją się trzy kluczowe elementy:

• Automatyzacja – przetwarzanie odbywa się z wykorzystaniem systemów informatycznych; człowiek może być obecny, ale główna logika oceny opiera się na algorytmie.
• Ocena aspektów dotyczących osoby – tworzenie wskaźnika ryzyka, klasy scoringowej, segmentu marketingowego; nie chodzi o samo przechowywanie danych.
• Prognozowanie zachowań lub cech – np. prawdopodobieństwo niespłacenia kredytu, skłonność do zadłużania się, oczekiwana lojalność wobec banku.

W kontekście kredytów każdy system scoringu kredytowego, który oblicza prawdopodobieństwo niewypłacalności i na tej podstawie klasyfikuje klienta, spełnia definicję profilowania. RODO nie zabrania takich praktyk, ale nakłada na administratora obowiązki informacyjne i wymóg odpowiedniej podstawy prawnej.

Art. 22 RODO – zautomatyzowane podejmowanie decyzji a „znaczący wpływ”

Art. 22 RODO dotyczy węższej kategorii sytuacji niż sama definicja profilowania. Przepis stanowi, że osoba, której dane dotyczą, ma prawo nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu – która wywołuje wobec niej skutki prawne lub w podobny sposób na nią istotnie wpływa. W praktyce oznacza to trzy warunki, które muszą wystąpić łącznie:

• decyzja jest podejmowana wyłącznie automatycznie, bez realnej ingerencji człowieka,
• opiera się co najmniej częściowo na profilowaniu (choć może też wynikać z innego zautomatyzowanego przetwarzania),
• jej skutki są prawne lub mają zbliżoną wagę praktyczną dla osoby.

Z perspektywy kredytów warunek skutków prawnych zazwyczaj będzie spełniony. Przyznanie lub odmowa udzielenia kredytu, ustalenie limitu, zmiana oprocentowania lub wypowiedzenie umowy na podstawie automatycznej oceny ryzyka bez wątpienia wpływa na sytuację ekonomiczną osoby, jej możliwości mieszkaniowe, planowanie budżetu, a nawet zdolność do prowadzenia działalności gospodarczej. Nawet jeśli decyzja nie przybiera postaci formalnego aktu prawnego, jej waga życiowa jest porównywalna.

Samo profilowanie vs decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu

Nie każde profilowanie prowadzi do decyzji z art. 22. Można wyobrazić sobie system, który buduje profil ryzyka klienta, ale finalną decyzję podejmuje analityk po rozmowie z klientem i ręcznym przejrzeniu dokumentów. W takim scenariuszu można mówić o profilowaniu, lecz nie o „wyłącznie zautomatyzowanej decyzji”. RODO dopuszcza profilowanie w szerokim zakresie, o ile są spełnione ogólne zasady (legalność, przejrzystość, minimalizacja danych, ograniczenie celu) oraz uwzględnione prawa osoby (np. prawo do sprzeciwu wobec profilowania opartego na uzasadnionym interesie).

Inaczej jest, gdy wynik scoringu w praktyce determinuje decyzję, a pracownik ma jedynie formalną rolę „akceptanta”. Wtedy, nawet jeśli teoretycznie istnieje możliwość odchylenia od wyniku, nadzorcy i sądy mogą uznać, że interwencja człowieka jest iluzoryczna. W efekcie proces podpada pod art. 22, a na administratora nakładane są dodatkowe obowiązki, w tym zapewnienie prawa do interwencji człowieka, prawo do wyrażenia własnego stanowiska oraz do zakwestionowania decyzji.

Porównanie modeli decyzyjnych – automatyczny, wspomagany, ręczny

Różnice między trzema podejściami można zestawić, co pomaga ocenić konsekwencje prawne konkretnego procesu kredytowego.

Inne istotne przepisy RODO dotyczące profilowania i kredytów

Art. 22 nie działa w próżni. W procesach kredytowych powiązane są z nim inne regulacje RODO:

• Art. 13–15 – obowiązki informacyjne wobec osoby (zakres danych, cele, podstawy prawne, kategorie odbiorców, informacje o profilowaniu i logice decyzji).
• Art. 21 – prawo do sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, w tym wobec profilowania w tym celu wykorzystywanego.
• Motyw 71 – doprecyzowanie zasad dotyczących zautomatyzowanych decyzji, w tym konieczność zabezpieczeń, zakaz wykorzystywania szczególnych kategorii danych (co do zasady) i wymóg przejrzystości.
• Motyw 72 – zachęta do stosowania odpowiednich środków technicznych i organizacyjnych, w tym minimalizacji ryzyka błędnej decyzji.

Scoring kredytowy a RODO to więc nie tylko kwestia „czy mogę korzystać z algorytmu”, ale także: jak informuję o tym klientów, jak umożliwiam im korzystanie z praw, jak dokumentuję moje decyzje i jak ograniczam ryzyko błędów oraz dyskryminacji algorytmicznej.

Kiedy decyzja kredytowa podpada pod art. 22 RODO

„Wyłącznie zautomatyzowane” podejmowanie decyzji a realna interwencja człowieka

Kluczowym kryterium stosowania art. 22 jest „wyłącznie zautomatyzowane” podejmowanie decyzji. Europejska Rada Ochrony Danych (EROD) w wytycznych wskazuje, że istotna interwencja człowieka musi być realna i merytoryczna, a nie tylko formalna. Oznacza to, że:

• pracownik ma dostęp do istotnych danych i może samodzielnie ocenić sytuację,
• ma możliwość zmiany decyzji rekomendowanej przez system,
• w praktyce z tej możliwości się korzysta, a nie traktuje ją czysto teoretycznie.

Jeżeli rola człowieka sprowadza się do „gumki do akceptowania”, czyli kliknięcia „zatwierdź” bez weryfikacji przesłanek, nadzorcy uznają, że mamy do czynienia z decyzją w pełni automatyczną. W rezultacie zwiększają się wymogi co do przejrzystości algorytmu, analizy skutków dla ochrony danych (DPIA w bankowości) oraz zapewnienia mechanizmów odwoławczych.

Skutki prawne i „podobnie znaczący wpływ” – przykłady z praktyki kredytowej

Granica między istotnym a nieistotnym wpływem na osobę

Przy kredytach konsumenckich i hipotecznych trudno mówić o wpływie „nieistotnym”. Jednak w praktyce bankowej pojawiają się procesy, które balansują na granicy art. 22. Dobrym przykładem są:

• automatyczne podwyższenie limitu w rachunku – gdy klientowi „z automatu” rośnie dostępny limit na podstawie historii wpływów,
• systemowe obniżenie limitu karty kredytowej – po spadku wpływów lub pojawieniu się opóźnień.

W obu przypadkach wpływ jest wyraźny, bo zmienia się zdolność do finansowania wydatków. Organ nadzorczy może więc uznać, że mamy do czynienia z „podobnie znaczącym wpływem”, nawet jeśli nie dochodzi do zawarcia nowej umowy kredytu. Inaczej można spojrzeć na drobne modyfikacje, jak:

• przesunięcie klienta między wewnętrznymi segmentami ryzyka bez bezpośredniej zmiany warunków umowy,
• wewnętrzny „alert” ryzyka widoczny tylko dla analityka, który dopiero później może podjąć decyzję.

Tu przede wszystkim kształtuje się profil, a nie od razu podejmuje decyzja o skutku prawnym. Gdy jednak z profilu automatycznie wynika odmowa lub zaostrzenie warunków, granica art. 22 zostaje przekroczona.

Odmowa kredytu vs. zmiana warunków już istniejącej umowy

Z punktu widzenia osoby, której dane dotyczą, odczuwalność decyzji bywa różna w zależności od momentu jej podjęcia. Można porównać trzy sytuacje:

• pierwotna odmowa udzielenia kredytu – typowy przykład decyzji o skutku prawnym; osoba nie uzyskuje finansowania, co wpływa na zdolność do zaspokojenia podstawowych potrzeb (zakup mieszkania, samochodu, sprzętu do pracy),
• odmowa restrukturyzacji lub konsolidacji zadłużenia – w praktyce równie dotkliwa jak odmowa kredytu; profilowanie może przesądzać, czy klient otrzyma „drugą szansę” na spłatę,
• zmiana parametrów istniejącego kredytu (np. skrócenie okresu wypowiedzenia, zaostrzenie warunków marży przy zmiennej stopie) w oparciu o model ryzyka – tutaj konsekwencje są bardziej rozłożone w czasie, ale dla wielu klientów równie odczuwalne ekonomicznie.

W trzecim wariancie część instytucji finansowych próbuje argumentować, że to „czysto techniczna” zmiana, wynikająca z regulaminu. Jednak jeśli impuls do zmiany pochodzi z algorytmu i człowiek nie weryfikuje indywidualnej sytuacji klienta, łatwo wykazać, że nadal mówimy o decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.

Decyzje warunkowe i „soft odmowy” w ocenie organów nadzorczych

Coraz częściej spotyka się scenariusz, w którym system scoringowy nie wydaje jednoznacznego „tak/nie”, lecz generuje tzw. soft odmowę lub ofertę warunkową. Przykładowo:

• klient otrzymuje odmowę kredytu na kwotę wnioskowaną, ale automatycznie proponuje się mu niższą kwotę,
• algorytm „przycina” okres kredytowania z 30 do 20 lat i tylko w takim wariancie dopuszcza pozytywną decyzję.

Na gruncie RODO to wciąż decyzja wywołująca skutki prawne – klient nie może zaciągnąć kredytu na pierwotnie planowanych warunkach. Nie ma znaczenia, że otrzymuje „jakąś” ofertę. Istotne jest, czy sposób profilowania i automatycznej kalkulacji znacząco ogranicza mu pole manewru.

Podstawa prawna przetwarzania danych przy profilowaniu kredytowym

Nie każda automatizacja wymaga zgody – porównanie głównych podstaw

Przy kredytach instytucje zwykle sięgają po trzy podstawy z art. 6 RODO:

• art. 6 ust. 1 lit. b – przetwarzanie niezbędne do wykonania umowy lub do podjęcia działań na żądanie przed jej zawarciem,
• art. 6 ust. 1 lit. c – wypełnienie obowiązku prawnego ciążącego na administratorze (np. ocena zdolności kredytowej wymagana prawem bankowym),
• art. 6 ust. 1 lit. f – uzasadniony interes administratora, np. zarządzanie ryzykiem portfela, wewnętrzne modele scoringowe, analityka.

W klasycznym procesie udzielania kredytu konsumenckiego podstawowy trzon przetwarzania (w tym profilowania) można oprzeć na połączeniu lit. b i c: bez oceny zdolności kredytowej umowa nie może zostać zawarta zgodnie z prawem i zasadami odpowiedzialnego kredytowania. Natomiast elementy wykraczające poza minimum wymagane do zawarcia umowy – np. profilowanie pod przyszłe oferty cross-sell – typowo opiera się na lit. f lub odrębnej zgodzie marketingowej.

Zgoda z art. 22 ust. 2 lit. c a „zwykła” zgoda na przetwarzanie danych

Art. 22 dopuszcza automatyczną decyzję w trzech przypadkach, z czego jeden to wyraźna zgoda osoby, której dane dotyczą. Ta zgoda nie jest tożsama ze „zgodą marketingową” ani ogólną zgodą na przetwarzanie danych. Różnice najlepiej widać przy bezpośrednim porównaniu:

Praktyczny problem pojawia się wtedy, gdy bank „przemyca” zgodę z art. 22 w długiej liście checkboksów, bez realnego wyjaśnienia, że od jej udzielenia zależy sposób podejmowania decyzji. Taka zgoda może zostać uznana za nieważną, a proces – zakwestionowany przez nadzorcę.

Gdy podstawą jest prawo lub umowa – czy zgoda na automat jest potrzebna?

Art. 22 ust. 2 lit. a i b przewiduje dwie inne podstawy dopuszczające automatyczne decyzje:

• niezbędność do zawarcia lub wykonania umowy,
• upoważnienie przez prawo Unii lub państwa członkowskiego, przewidujące odpowiednie zabezpieczenia.

W realiach bankowych często łączy się oba elementy: ustawy sektorowe (np. prawo bankowe) nakazują oceniać zdolność kredytową, a modele scoringowe są najefektywniejszą metodą realizacji tego wymogu. W takim układzie zgoda z art. 22 nie jest konieczna do samego stosowania modelu. Nadal jednak trzeba zapewnić zabezpieczenia, o których mowa w art. 22 ust. 3, a więc możliwość interwencji człowieka i zakwestionowania decyzji.

Zgoda na automat staje się istotna tam, gdzie bank chce pójść dalej niż wynika to z obowiązku prawnego lub umowy. Przykładowo, gdy decyzja w pełni automatyczna dotyczy nie tylko udzielenia kredytu, ale również dalszych, bardzo wrażliwych modyfikacji warunków, które prawnie nie są konieczne (np. automatyczne kierowanie klienta do postępowania windykacyjnego na podstawie profilu, mimo braku formalnych zaległości).

Uzasadniony interes przy profilowaniu portfelowym i wtórnym

Obok podstawy „umownej” i „prawnej” występuje szeroka sfera profilowania opartego na uzasadnionym interesie administratora. Chodzi m.in. o:

• modele prognozujące przyszłe ryzyko niewypłacalności portfela,
• segmentację klientów pod kątem strategii utrzymania (retencji),
• analizę rentowności produktów i kombinacji produktów.

W tych zastosowaniach profilowanie nie zawsze prowadzi od razu do indywidualnej decyzji o skutku prawnym, ale wpływa na to, jakie oferty i kanały komunikacji są stosowane wobec danego klienta. Jeśli jednak wyniki takiego profilowania pośrednio stają się podstawą twardych decyzji (np. przekazanie sprawy do zewnętrznej windykacji bez indywidualnej oceny), może to przesunąć proces w obszar art. 22. Różnica między „analizą portfelową” a „indywidualną decyzją” szybko się zaciera, gdy wynik modelu jest z automatu wpisywany w konkretne działania.

Obowiązki informacyjne i prawo do wyjaśnienia decyzji kredytowej

Zakres informacji o profilowaniu – co trzeba ujawnić klientowi

Art. 13 i 14 RODO wymagają, by osoba otrzymała informacje m.in. o:

• celach i podstawach prawnych przetwarzania,
• prawie do sprzeciwu i innych prawach,
• istnieniu zautomatyzowanego podejmowania decyzji, w tym profilowania,
• a przynajmniej zrozumiałych informacjach o stosowanej logice, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania.

Same ogólne klauzule typu „Państwa dane będą przetwarzane automatycznie w celu oceny zdolności kredytowej” nie spełniają standardu przejrzystości. Klient powinien wiedzieć, że:

• jego dane trafią do systemu scoringowego,
• wynik scoringu będzie (lub może być) czynnikiem przesądzającym o decyzji,
• ma prawo żądać udziału człowieka w procesie, wyjaśnienia przesłanek i zakwestionowania samej decyzji.

„Zrozumiała logika” bez ujawniania algorytmu – jak znaleźć balans

Banki często obawiają się, że przekazanie klientowi informacji o logice modelu doprowadzi do ujawnienia tajemnicy przedsiębiorstwa lub „obejścia” systemu przez osoby chcące wyłudzić kredyt. RODO nie wymaga jednak pokazywania kodu źródłowego czy dokładnych wag wszystkich zmiennych. W praktyce sprawdza się podejście pośrednie:

• opis głównych kategorii danych wykorzystywanych w modelu (dochody, historia spłat, zobowiązania, dane z baz zewnętrznych),
• ogólne wyjaśnienie, jak wynik scoringu wpływa na decyzję (np. powyżej pewnego progu wniosek trafia do uproszczonej ścieżki, poniżej wymaga analizy ręcznej lub generuje automatyczną odmowę),
• informacja, że pojedyncze czynniki (np. opóźnienia w spłatach, wysoki poziom zadłużenia) mogą obniżać ocenę i być istotnym powodem odmowy.

Przy odmowie można pójść krok dalej i wskazać najbardziej wpływowe grupy przesłanek, np. „wysoki poziom istniejących zobowiązań w relacji do dochodów” albo „wielokrotne opóźnienia w spłacie rat w ostatnich miesiącach”. Nie jest konieczne odtwarzanie pełnej ścieżki decyzji modelu, ale osoba musi mieć realną szansę zrozumienia, co zaważyło na wyniku.

Prawo do uzyskania „wyjaśnienia” a klasyczne prawo dostępu do danych

Art. 15 RODO daje osobie prawo dostępu do danych oraz do „istotnych informacji o logice” w przypadku zautomatyzowanego podejmowania decyzji. Często traktuje się to jako prawo do wyjaśnienia decyzji kredytowej. W praktyce oznacza to dwa poziomy:

1. Poziom ogólny – opis modelu i zasad działania, powtarzalny dla wszystkich klientów; może być zawarty w polityce prywatności lub odrębnym dokumencie.
2. Poziom indywidualny – informacja, jakie kategorie danych danej osoby i jakie ich właściwości wpłynęły na konkretną decyzję (np. „liczba aktywnych zobowiązań, liczba zapytań kredytowych z ostatnich miesięcy, brak stałego udokumentowanego dochodu”).

Różnica między nimi jest zbliżona do rozróżnienia między „instrukcją obsługi” a „uzasadnieniem konkretnego wyroku”. Klient nie potrzebuje technicznych szczegółów, ale ma prawo wiedzieć, jakie elementy jego sytuacji doprowadziły do obecnego efektu.

Interwencja człowieka, ponowna ocena i ścieżki odwoławcze

Art. 22 ust. 3 nakazuje administratorowi zapewnić osobie, której dane dotyczą:

• prawo do uzyskania interwencji człowieka po stronie administratora,
• prawo do wyrażenia własnego stanowiska,
• prawo do zakwestionowania decyzji.

W praktyce kredytowej można porównać trzy modele wdrożenia tych praw:

Najczęściej zadawane pytania (FAQ)

Czym różni się tradycyjna ocena kredytowa od automatycznego scoringu pod kątem RODO?

W tradycyjnej ocenie kredytowej główną rolę odgrywa analityk: przegląda dokumenty, rozmawia z klientem i samodzielnie ocenia ryzyko. Narzędzia informatyczne, jeśli się pojawiają, są jedynie wsparciem – człowiek może zignorować sugestię systemu i podjąć inną decyzję, biorąc za nią odpowiedzialność.

W automatycznym scoringu decyzja opiera się przede wszystkim na algorytmie. System nadaje klientowi wynik punktowy, a z góry ustalone progi przekładają się na „tak/nie” lub konkretny limit. Jeśli pracownik tylko „klika dalej” bez realnej możliwości zmiany wyniku, mamy do czynienia z wyłącznie zautomatyzowaną decyzją w rozumieniu art. 22 RODO, co uruchamia dodatkowe obowiązki informacyjne i uprawnienia klienta.

Co RODO rozumie przez profilowanie przy udzielaniu kredytu?

RODO traktuje profilowanie jako zautomatyzowane przetwarzanie danych osobowych, które służy do oceny określonych aspektów osoby i prognozowania jej zachowań lub cech. W kredytach chodzi przede wszystkim o ocenę sytuacji ekonomicznej i wiarygodności płatniczej: prawdopodobieństwa spłaty, ryzyka zadłużenia, stabilności dochodów.

Prosty przykład różnicy: samo zliczenie liczby kredytów klienta nie jest jeszcze profilowaniem. Profilowanie zaczyna się wtedy, gdy na bazie tych informacji system przypisuje klienta do kategorii typu „wysokie ryzyko”, „klient pre-approved”, „niska stabilność finansowa” i używa tej etykiety do podejmowania decyzji kredytowych czy marketingowych.

Czy bank może podjąć wyłącznie automatyczną decyzję o przyznaniu kredytu?

Może, ale tylko przy spełnieniu warunków z art. 22 RODO i przewidzianych tam wyjątków. Taka decyzja musi mieć odpowiednią podstawę prawną (np. niezbędność do zawarcia umowy lub szczególny przepis prawa), a instytucja finansowa powinna zapewnić osobie m.in. prawo do uzyskania interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji.

Różnica między praktykami rynkowymi jest wyraźna: w jednym banku klient może po odmowie poprosić o ponowną, ręczną analizę dokumentów, w innym taki mechanizm nie istnieje i decyzja modelu jest ostateczna. W tym drugim przypadku wchodzimy wprost w reżim „wyłącznie zautomatyzowanego podejmowania decyzji” i pełen pakiet wymogów RODO.

Jakie prawa ma klient wobec automatycznej decyzji kredytowej zgodnie z RODO?

Osoba, której dane dotyczą, ma kilka kluczowych uprawnień. Po pierwsze – prawo do informacji, że decyzja była podejmowana w sposób zautomatyzowany, w tym na podstawie profilowania, oraz ogólnego wyjaśnienia logiki działania systemu (np. jakie kategorie danych są brane pod uwagę, jakie mogą być konsekwencje decyzji).

Po drugie – prawo do uzyskania interwencji człowieka, do zakwestionowania decyzji i przedstawienia własnych argumentów. W praktyce może to oznaczać wniosek o ręczną rewizję odmowy kredytu z dołączeniem dodatkowych dokumentów, które system standardowo nie uwzględnia (np. nowe źródło dochodu, zmiana formy zatrudnienia).

Czy oferty „pre-approved” i podwyższanie limitu karty to też profilowanie?

Tak. Jeżeli bank lub fintech na podstawie danych historycznych, transakcyjnych czy informacji z biur kredytowych sam decyduje, komu wyświetli gotową ofertę kredytu lub automatycznie podwyższy/obniży limit, działa w oparciu o profil klienta. System ocenia zachowanie i sytuację ekonomiczną osoby, przypisuje jej określony poziom ryzyka i na tej podstawie uruchamia konkretne działania.

Różnica dotyczy zwykle „wagi” skutków. Automatyczne podniesienie limitu kartowego lub propozycja kredytu ratalnego bywa bardziej miękkim efektem niż odmowa finansowania zakupu mieszkania. Mimo to przetwarzanie danych jest profilowaniem i wymaga zgodnego z RODO ujawnienia celu, podstawy prawnej oraz zapewnienia odpowiedniej przejrzystości.

Gdzie przebiega granica między zwykłą analizą danych a profilowaniem w rozumieniu RODO?

Można ją zobaczyć, porównując dwa podejścia. W pierwszym system tylko przelicza liczby: sumuje raty, wylicza średni dochód, sprawdza liczbę aktywnych kredytów – dane są porządkowane, ale nie powstaje ocena typu „klient wysokiego ryzyka”. W takim scenariuszu mówimy o zwykłym przetwarzaniu, bez profilowania.

W drugim podejściu te same dane trafiają do modelu scoringowego, który generuje ocenę ryzyka, przypisuje klasę scoringową czy segment marketingowy i używa tej klasyfikacji przy podejmowaniu decyzji. Wtedy spełnione są wszystkie elementy definicji profilowania z art. 4 pkt 4 RODO: automatyzacja, ocena aspektów dotyczących osoby i prognoza zachowania (np. prawdopodobieństwa niespłaty).

Czy każda automatyczna decyzja kredytowa podpada pod art. 22 RODO?

Nie. Aby art. 22 miał zastosowanie, muszą łącznie wystąpić trzy elementy: decyzja jest wyłącznie zautomatyzowana (bez realnej ingerencji człowieka), opiera się na zautomatyzowanym przetwarzaniu – często profilowaniu – oraz wywołuje skutki prawne lub w podobny sposób istotnie wpływa na sytuację osoby.

W praktyce decyzje o przyznaniu/odmowie kredytu, ustaleniu lub zmianie limitu, wypowiedzeniu umowy z powodu ryzyka zwykle będą spełniały kryterium „istotnego wpływu”. Natomiast proste wewnętrzne klasyfikacje, które nie przekładają się bezpośrednio na prawo do produktu czy warunki umowy, pozostaną „tylko” profilowaniem, ale niekoniecznie zautomatyzowaną decyzją w rozumieniu art. 22.

Najważniejsze wnioski

• Ręczna ocena kredytowa, nawet wsparta prostymi narzędziami (np. arkusz kalkulacyjny), co do zasady nie jest „zautomatyzowanym podejmowaniem decyzji” w rozumieniu art. 22 RODO, podczas gdy decyzja oparta wyłącznie na wyniku modelu scoringowego już w ten zakres wchodzi.
• Nowoczesny scoring kredytowy z użyciem AI działa na wielu etapach relacji z klientem (wstępny scoring, oferty „pre-approved”, bieżące zarządzanie limitem, antyfraud), a więc profilowanie nie ogranicza się do pojedynczej decyzji „kredyt przyznany/odrzucony”.
• Granica między zwykłą analizą danych a profilowaniem z art. 4 pkt 4 RODO przebiega tam, gdzie z samych obliczeń przechodzi się do nadawania klientowi etykiet typu „wysokie ryzyko” czy „niska stabilność finansowa” i wykorzystywania ich do decyzji biznesowych.
• Z perspektywy nadzoru, jeśli analiza danych kończy się automatycznym przypisaniem cech ryzyka, preferencji lub zachowań, a te cechy wpływają na decyzje (np. podwyższenie limitu, odmowa kredytu), to praktycznie mamy do czynienia z profilowaniem, nawet przy częściowej weryfikacji ręcznej.
• Typowy proces przyznania limitu na karcie online, gdzie klient po kilku sekundach dostaje decyzję, zwykle spełnia kryteria „wyłącznie zautomatyzowanego podejmowania decyzji, w tym profilowania”, bo kluczowy jest wynik modelu, a udział człowieka jest iluzoryczny.