Scoring kredytowy dokonywany przez biuro informacji kredytowej to zautomatyzowane przetwarzanie danych osobowych czyli profilowanie. Jako taki scoring podlega regułom RODO i musi być oparty na jednej z podstaw przetwarzania przewidzianych w art. 6 rozporządzenia unijnego. Na takim stanowisku stanął Trybunał Sprawiedliwości Unii Europejskiej w niedawnym wyroku w sprawie SCHUFA Holding AG.
Sprawa dotyczyła odmowy zapewnienia dostępu do danych osobowych klienta przez niemiecką firmę SCHUFA Holding AG. Spółka ta jako biuro informacji kredytowej zajmuje się tzw. scoringiem czyli dostarcza bankom i innym instytucjom finansowym informacji o zdolności kredytowej konsumentów. W tym celu firma sporządza prognozę dotyczącą prawdopodobieństwa przyszłego zachowania danej osoby („score”) w kontekście spłaty pożyczki. Score sporządzany jest w oparciu o określone cechy tej osoby, przy użyciu procedur matematycznych i statystycznych, poprzez przyporządkowanie danej osoby do grupy innych osób o pewnych porównywalnych cechach, które zachowały się w określony sposób.
W związku z negatywną oceną zdolności kredytowej jednemu z klientów odmówiono udzielenia pożyczki. Klient ten wystąpił do SCHUA Holding AG z wnioskiem o dostęp do swoich danych osobowych i usunięcie błędnych danych. W odpowiedzi spółka przedstawiła jedynie ogólną informację o sposobie obliczania scoringu i podała jego wartość. Odmówiła natomiast ujawnienia konkretnych informacji branych pod uwagę w obliczeniu. W związku z tym klient zwrócił się do organu nadzorczego, a po oddaleniu jego wniosku, wystąpił do niemieckiego sądu z żądaniem nakazania zapewnienia dostępu do danych w odpowiednim zakresie. Sąd ten zwrócił się zaś z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej.
Treść pierwszego z pytań prejudycjalnych do niemieckiego sądu brzmiała następująco:
„Czy art. 22 ust. 1 RODO należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do spłaty kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby, jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma decydujące znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą?”
Sąd udzielił odpowiedzi wyłącznie na to pytanie.
TSUE w uzasadnieniu wyroku nawiązał do treści art. 22 ust. 1 RODO, zgodnie z którym osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Takim zautomatyzowanym przetwarzaniem (profilowaniem) jest właśnie scoring, o ile odgrywa on decydującą rolę przy przyznaniu kredytu.
W ocenie TSUE scoringu nie można uznać jedynie za działanie przygotowawcze. Jednocześnie Trybunał przypomniał, że profilowanie generalnie jest zakazane, z wyjątkiem przypadków, w których:
jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
jest dozwolone prawem UE lub krajowym, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
W kontekście scoringu nie można jednak zapominać o podstawowych zasadach przetwarzania danych przewidzianych w art. 5 RODO i podstawach przetwarzania z art. 6 RODO.
Przeczytaj także: Profilowanie w kontekście oceny zdolności kredytowej – kara dla banku
wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 7 grudnia 2023 r. C-634/21 w sprawie SCHUFA Holding (Scoring)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
