Informacijski pooblaščenec Republika Slovenija
Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Dopustnost uporabe avtomatiziranega odločanja v postopku odobritve potrošniškega kredita

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 21.12.2021
Številka: 07121-1/2021/2502
Kategorije: Bančništvo, Profiliranje in avtomatizirano odločanje

Zahvaljujemo se vam za vaše vprašanje glede uporabe avtomatiziranega odločanja v postopku odobritve potrošniškega kredita. Kot navajate, se postavlja vprašanje, ali je glede korakov odobritve kredita, ki sledijo pridobitvi podatkov iz sistema SISBON, dovoljeno odločati avtomatizirano, in sicer tudi na podlagi podatkov, ki se s pomočjo sprožitve tehničnega ukaza prepisa (ki ga izvede bančni delavec) pridobijo iz sistema SISBON. Kot navajate, se v tej fazi za odločanje poleg podatkov pridobljenih iz sistema SISBON uporabijo tudi podatki, ki jih posreduje stranka ter podatki, s katerimi banka o stranki že razpolaga. Zanima vas, ali bi lahko šteli, da za tak proces ne veljajo omejitve 22. člena Splošne uredbe o varstvu podatkov, saj v procesu vedno sodeluje bančni uslužbenec, ali pa je mogoče šteti, da je odločitev o odobritvi kredita nujna za sklenitev pogodbe in je torej mogoče reči, da je v postopku odločanja o odobritvi kredita zgolj avtomatizirano odločanje dovoljeno skladno s točko a) 2. odstavka 22. člena Splošne uredbe o varstvu podatkov. Pojasnjujete, da se po vašem mnenju z avtomatiziranim odločanjem zagotovi bolj pravilno odločanje (tj. enako kreditno sposobne stranke bodo obravnavane enako, kar ni mogoče v celoti zagotoviti, če o odobritvi odločajo ljudje). Dodatno pojasnjujete, da ocenjujete, da avtomatizirano odločanje hkrati ščiti banko in stranke, saj se na tak način postopek pospeši in najbolje prepreči odobritev kredita kreditno nesposobni osebi, ki morda kredita ne bo sposobna odplačati.

 

Na podlagi vaših pojasnil v nadaljevanju na podlagi informacij, ki ste nam jih posredovali, skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo mnenje Informacijskega pooblaščenca (v nadaljevanju IP).

 

Že uvodoma poudarjamo, da je presoja dopustnosti in skladnosti konkretnega postopka avtomatizirane obdelave in/ali odločanja o odobritvi kredita s Splošno uredbo in predpisi o varstvu osebnih podatkov odgovornost in naloga posamezne banke. Vsako avtomatizirano odločanje, ki vključuje obdelavo osebnih podatkov je namreč podvrženo predpisom varstva osebnih podatkov in Splošne uredbe. Vprašanje, kdaj in ali je za namen pridobivanja in avtomatiziranega vnosa osebnih podatkov v/iz zbirk dopustno povezovanje zbirk osebnih podatkov ali ne, je zgolj eden od vidikov, ki morajo biti predmet presojanja. Tega Splošna uredba posebej ne ureja, ureja pa to 84. člen ZVOP-1, ki se do morebitne drugačne ureditve v tem delu še vedno uporablja.

 

Zato IP na vaša vprašanja lahko poda le pojasnila o tem, kateri so ključni vidiki za presojo. IP pa ne more podajati vnaprejšnjih soglasij ali potrditev uporabe konkretnih procesov obdelav, saj so vidiki, ki jih navajate le del vseh obveznosti povezanih z avtomatizirano obdelavo in morebitnim avtomatiziranim odločanjem, ki jih je pri tem upravljavec dolžan spoštovati. Banka vseh vidikov ustreznosti tovrstnih obdelav ne bo mogla presoditi, če najprej ne izvede ocene učinkov v zvezi z varstvom podatkov v skladu s 35. členom Splošne uredbe. IP pa konkretno vse vidike zakonitosti posamezne obdelave lahko presoja zgolj v inšpekcijskem postopku.

 

Z vidika varstva osebnih podatkov IP najprej izpostavlja, da je na temo uporabe 22. člena Splošne uredbe o varstvu podatkov in avtomatiziranega sprejemanja posameznih odločitev in oblikovanja profilov Evropski odbor za varstvo podatkov sprejel smernice, ki so na voljo na spletu (https://ec.europa.eu/newsroom/article29/items/612053). Iz teh smernice izhaja, da je oblikovanje profilov sestavljeno iz treh elementov: prvič gre za avtomatizirano obliko obdelave; drugič se mora izvajati v zvezi z osebnimi podatki in tretjič mora biti njegov oceniti osebne vidike posameznika. Glede na vaš opis primera, je torej zelo verjetno, da bi šlo v opisanem primeru tako za oblikovanje profilov kot tudi za avtomatizirano odločanje s pravnimi učinki za posameznika, ne glede na to, kaj so viri vnosa podatkov, ki bodo predmet obdelave in četudi morda ne bi šlo za povezovanje zbirk osebnih podatkov banke s Sistemom izmenjave informacij (v nadaljevanju SISBON). Že sami namreč navajate, da bi šlo za avtomatizirano obdelavo z namenom odločanja o odobritvi kredita.

 

Glede na koncept, ki ga obravnava 22. člen Splošne uredbe so možni trije načini uporabe oblikovanja profilov:

  1. splošno oblikovanje profilov;
  2. sprejemanje odločitev na podlagi oblikovanja profilov in
  3. zgolj avtomatizirano sprejemanje odločitev, vključno z oblikovanjem profilov, ki ima pravne učinke ali na podoben način znatno vpliva na posameznika, na katerega se nanašajo osebni podatki.

 

Upravljavci lahko izvajajo oblikovanje profilov in avtomatizirano sprejemanje odločitev, če izpolnjujejo vsa načela in imajo zakonito podlago za obdelavo. Dodatni zaščitni ukrepi in omejitve se uporabljajo v primeru avtomatiziranega sprejemanja odločitev, ki ima pravne učinke v zvezi s posameznikom ali nanj znatno vpliva na podoben način, vključno z oblikovanjem profilov, iz prvega odstavka 22. člena Splošne uredbe. Že sama Splošna uredba med slednje primere uvršča avtomatsko odločanje o posojilu (uvodna določba 71). Prvi odstavek 22. člena Splošne uredbe vzpostavlja splošno prepoved sprejemanja odločitev, ki temeljijo zgolj na avtomatizirani obdelavi. Ta prepoved se uporablja ne glede na to, ali posameznik, na katerega se nanašajo osebni podatki, ukrepa v zvezi z obdelavo svojih osebnih podatkov ali ne. Na kratko, v 22. členu je določeno, da:

  1. praviloma obstaja splošna prepoved popolnoma avtomatiziranega sprejemanja posameznih odločitev, vključno z oblikovanjem profilov, ki ima pravne učinke ali podoben znaten vpliv;
  2. obstajajo izjeme od pravila (zakon, izrecna privolitev, nujnost za sklenitev ali izvajanje pogodbe);
  3. morajo biti v primeru, če se uporabi ena od teh izjem, vzpostavljeni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

 

Glede dostopanja do podatkov v Sistemu izmenjave informacij (v nadaljevanju SISBON) 4. odstavek 19. člena Zakona o centralnem kreditnem registru (Uradni list RS, št. 77/16, v nadaljevanju ZCKR) določa, da do podatkov v SISBON lahko pri članih SISBON in vključenih dajalcih kreditov dostopajo le osebe, ki so pooblaščene za dostop do zaupnih podatkov zaradi izvajanja nalog pri ocenjevanju kreditnih tveganj člana sistema oziroma vključenega dajalca kreditov v zvezi s sklepanjem ali izvajanjem kreditnih poslov. Nadalje 5. odstavek 19. člena ZCKR določa, da član SISBON in vključeni dajalec kreditov varuje osebne podatke v skladu z zakonom, ki ureja varstvo osebnih podatkov, ter med drugim zagotovi sledljivost glede dostopa do podatkov in izpisovanja podatkov iz sistema izmenjave informacij tako, da sta mogoča identifikacija pooblaščene osebe, ki je dostopala oziroma izpisovala podatke iz sistema izmenjave informacij, in preverjanje razlogov, zaradi katerih je ta oseba dostopala oziroma izpisovala določene podatke. Navedeno kaže na to, da ZCKR ni predvidel, da bi se SISBON povezoval z zbirkami posameznih bank, niti ne dopušča, da bi se na ta način brez sodelovanja osebe avtomatizirano prenašali osebni podatki posameznikov iz SISBON v zbirke bank za namen oblikovanja profilov ali avtomatiziranega sprejemanja odločitev. Na izvedbeni ravni pa to določajo tudi Pravila sistema izmenjave informacij o zadolženosti fizičnih oseb – SISBON (Uradni list RS, št. 65/17, 6/18, 68/18 in 97/21, v nadaljevanju Pravila SISBON).

 

ZCKR v drugem odstavku 21. člena nadalje določa, da pred sklenitvijo kreditnega posla član SISBON ali vključeni dajalec kreditov na podlagi vpogleda v zbirko podatkov sistema izmenjave informacij in na podlagi drugih podatkov in informacij o kreditojemalcu, s katerimi razpolaga, oceni kreditojemalčevo sposobnost izpolnjevanja obveznosti iz kreditnega posla. Izpis podatkov iz sistema izmenjave informacij je sestavni del kreditne dokumentacije, ki jo vodi član sistema ali vključeni dajalec kreditov. V zvezi s tem tretji odstavek 21. člena ZCKR prepoveduje članu sistema in vključenemu dajalcu kreditov uporabo podatkov o zadolženosti fizične osebe, ki se obdelujejo v sistemu SISBON, za neposredno ali ciljno trženje ali pri odločanju, ali naj fizični osebi odpreta transakcijski račun. Vse te omejitve mora banka upoštevati in spoštovanju pri opredeljevanju postopka obravnave stranke v zvezi s sklenitvijo kreditnega posla.

 

IP opozarja, da bi morali v vsakem primeru pred odločitvijo o morebitni uvedbi kakršnegakoli postopka avtomatiziranega odločanja v okviru postopka odobritve kredita upoštevajoč veljavne predpise, zlasti vse določbe Splošne uredbe, ZCKR in še posebej zgoraj navedeno izvesti predhodno oceno učinka v zvezi z varstvom podatkov, saj bi glede na vaš opis najverjetneje šlo za eno izmed oblik obdelave, ko je takšna ocena učinka obvezna. Seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe je objavljen na spletni strani IP (https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf). Več o oceni učinkov najdete na spletni strani IP (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/).

 

Pri vsaki obdelavi, ki bi lahko povzročila veliko tveganje za posameznike, na katere se nanašajo osebni podatki, mora namreč upravljavec izvesti oceno učinka v zvezi z varstvom podatkov. Poleg obravnavanja morebitnih drugih tveganj, povezanih z obdelavo, je lahko ocena učinka v zvezi z varstvom podatkov zlasti koristna prav za primere, ki jih opisujete. Torej za upravljavce, ki niso prepričani, ali njihove predlagane dejavnosti spadajo v opredelitev iz prvega odstavka 22. člena Splošne uredbe in, če gre za eno izmed dopustnih izjem, katere zaščitne ukrepe je treba izvesti. V vašem primeru je torej najprej bistvena presoja, kaj so pravne podlage za pridobivanje osebnih podatkov (katere osebne podatke torej lahko zbirate in uporabljate za namen presoje o odobritvi kredita); kako lahko te podatke pridobivate in iz katerih virov; kako bodo o obdelavi in posameznih fazah obdelave v skladu s 13. in 14. členom Splošne uredbe informirani posamezniki; ali in v kolikšni meri ter v katerih fazah lahko za namene odločanja uporabljate sisteme za avtomatizirano sprejemanje odločitev o odobritvi kredita ter v kolikor bi bilo temu tako, kateri so ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika. V vsakem takem primeru bi moral upravljavec v okviru ocene učinka v zvezi z varstvom podatkov opredeliti in evidentirati tudi stopnjo kakršnega koli avtomatiziranega in osebnega posredovanja v postopku sprejemanja odločitev in fazo, v kateri se izvaja. Kot je še pojasnjeno v smernicah Evropskega odbora za varstvo podatkov pa mora upravljavec, da bi se štelo za osebno posredovanje, zagotoviti, da je vsak nadzor nad odločitvijo smiseln in ne le simbolično dejanje. Izvajati bi ga moral nekdo, ki ima pooblastila in pristojnosti za spremembo odločitve. V okviru analize bi torej morali upoštevati vse ustrezne podatke in navedene vidike ter temu primerno opredeliti postopke obravnave posameznika. Vaši argumenti, da bi avtomatizirano odločanje preprečilo napake osebe v vlogi odločevalca, kažejo na to, da vloga osebe v takem primeru ne bi bila usmerjena v spremembo odločitve, ampak bi bila zgolj simbolična.

 

Drugi vidik, kjer tveganja nedvomno niso povezana zgolj z varstvom podatkov, ampak tudi z varstvom pravic potrošnikov in preprečevanjem zlorab ob zadolževanju, pa je sama identifikacija stranke za namen zakonite sklenitve posla npr. kredita ali drugega posla zadolževanja. V tem delu Pravila SISBON določajo, da je interes posameznika za sklenitev kreditnega posla izkazan, če banka kot dajalec kreditov nedvoumno potrdi istovetnost osebe, ki je izkazala interes, z vpogledom v uradni osebni dokument osebe ob njeni osebni navzočnosti ali z uporabo sredstva elektronske identifikacije takšne ravni zanesljivosti, ki ob izdaji zahteva osebno navzočnost stranke in ga izda izdajatelj sredstva elektronske identifikacije s sedežem v Republiki Sloveniji v skladu s predpisi, ki urejajo elektronsko identifikacijo, ali s sredstvom elektronske identifikacije, ki je priglašeno pri Evropski komisiji v skladu z 9. členom Uredbe eIDAS in se mu v skladu z 8. členom Uredbe eIDAS priznava visoka raven zanesljivosti (2. odst. 18. člena Pravil SISBON).

 

Dodatno izpostavljamo, da v zvezi z vašim vprašanjem niso zanemarljiva tudi druga vprašanja ustreznega spoštovanja pravic potrošnikov in Zakona o potrošniških kreditih (Uradni list RS, št. 77/16 in 92/21-ZBan-3, v nadaljevanju ZPotK-2), ki kot temeljno v 5. členu med drugim  določa, da morajo dajalci kredita pri oblikovanju, ponujanju ali odobritvi potrošniških kreditnih pogodb ali pomožnih storitev, kadar sklepanje potrošniške kreditne pogodbe vključuje pomožne storitve, ter pri izvrševanju pravic in izpolnjevanju obveznosti iz teh pogodb, delovati v skladu z načelom vestnosti in poštenja. ZPotK-2 v 7. členu zahteva, da dajalec kredita ali kreditni posrednik potrošniku pisno na papirju ali drugem trajnem nosilcu podatkov pravočasno pred sklenitvijo kreditne pogodbe brezplačno zagotovi predhodne informacije o kreditni pogodbi, na podlagi katerih potrošnik lahko primerja različne ponudbe in presodi ustreznost kreditne pogodbe glede na svoje potrebe in finančni položaj. V kolikor bo takšna ponudba predmet v celoti zgolj predmet avtomatiziranega odločanja z uporabo algoritma in brez sodelovanja posameznika, se IP sprašuje, kako bodo lahko dajalci kredita zadostili tem zahtevam. Nadalje drugi odstavek 10. člena ZPotK-2 zahteva, da dajalec kredita oceni kreditno sposobnost potrošnika na podlagi potrebnih, zadostnih in sorazmernih informacij o prihodkih in izdatkih oziroma premoženjskem stanju potrošnika, ki jih pridobi od potrošnika in iz SISBON. Dajalec kredita v skladu s tretjim odstavkom 10. člena ZPotK-2 predhodno obvesti potrošnika o poizvedbi v zbirki osebnih podatkov.

 

Navedeno kaže, da ima banka številne obveznosti, ki nujno zahtevajo aktivno sodelovanje in presojo osebe v fazi odločanja o odobritvi kredita, za presojo teh obveznosti, ki presegajo zgolj vidik varstva osebnih podatkov, pa IP ni pristojen. Zato predlagamo, da se v tem delu obrnete na pristojno ministrstvo.

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke