(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)(2021/C 403/05)
(Dz.U.UE C z dnia 6 października 2021 r.)
W dniu 30 czerwca 2021 r. Komisja Europejska przyjęła wniosek dotyczący dyrektywy w sprawie kredytów konsumenckich. Ma on zastąpić dyrektywę 2008/48/WE w sprawie umów o kredyt konsumencki i dostosować obecne przepisy do postępującej cyfryzacji rynku i innych tendencji (nowe podmioty, takie jak platformy pożyczek społecznościowych i nowe formy kredytów konsumenckich, jak np. krótkoterminowe, drogie pożyczki).
Europejski Inspektor Ochrony Danych z zadowoleniem odnosi się do celu, jakim jest wzmocnienie ochrony konsumentów, i przypomina o komplementarności ochrony konsumentów i danych. Przyjęcie wniosku ma wyraźne skutki dla ochrony praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, w szczególności w świetle przepisów dotyczących oceny zdolności kredytowej, spersonalizowanych ofert na podstawie zautomatyzowanego przetwarzania danych oraz wykorzystywania danych osobowych w kontekście działalności doradczej i innej.
Mając na względzie promowanie sprawiedliwego dostępu do kredytów i ochrony danych, Europejski Inspektor Ochrony Danych zaleca jednoznaczne określenie kategorii i źródeł danych osobowych, które mogą być wykorzystywane do celów oceny zdolności kredytowej. W szczególności EIOD zachęca prawodawcę, aby dążył do zwiększenia ochrony konsumentów i harmonizacji poprzez jasne wyszczególnienie kategorii danych, które powinny i nie powinny być przetwarzane. Zaleca też, aby na mocy art. 9 RODO wprowadzić kategoryczny zakaz wykorzystywania jakichkolwiek specjalnych kategorii danych osobowych.
Biorąc pod uwagę ewentualne negatywne konsekwencje dla zainteresowanych osób, EIOD wyraża przekonanie, że należy uregulować kwestię wymogów, roli i odpowiedzialności baz danych zawierających informacje o kredytach lub stron trzecich dostarczających "punktowe oceny kredytowe". Należy też doprecyzować, w jakich sytuacjach konieczne i współmierne jest korzystanie z zewnętrznych źródeł informacji.
Konsumenci powinni zawsze otrzymywać uprzednie zrozumiałe informacje, jeżeli ocena ich zdolności kredytowej opiera się na zautomatyzowanym przetwarzaniu danych. W przypadku gdy ocena zdolności kredytowej wiąże się z wykorzystaniem profilowania lub innego zautomatyzowanego przetwarzania danych osobowych, należy umożliwić konsumentom wystąpienie z wnioskiem o ocenę dokonaną przez człowieka oraz uzyskanie takiej oceny.
W odniesieniu do spersonalizowanych ofert opartych na zautomatyzowanym przetwarzaniu danych Europejski Inspektor Ochrony Danych zaleca wprowadzenie obowiązku udzielania przez kredytodawcę jasnych, zrozumiałych i jednolitych informacji na temat parametrów stosowanych do określenia ceny. EIOD zachęca również prawodawcę do dokładnego określenia kategorii danych osobowych, które mogą zostać wykorzystane jako parametry służące przygotowaniu spersonalizowanej oferty.
EIOD sugeruje, aby jednoznacznie potwierdzić, że rozporządzenie 2016/679 ("RODO") jest w pełni stosowane do każdego przetwarzania danych osobowych wchodzącego w zakres wniosku. Uwzględniając wniosek dotyczący aktu w sprawie sztucznej inteligencji, Europejski Inspektor Ochrony Danych zaleca, aby stosowne przepisy dotyczące kredytów konsumenckich i ochrony danych zostały włączone jako integralna część procesu oceny zgodności (strony trzeciej) zanim zostanie nadane oznakowanie zgodności CE.
1. Informacje ogólne
1. W dniu 30 czerwca 2021 r. Komisja Europejska przyjęła wniosek dotyczący dyrektywy w sprawie kredytów konsumenckich ("Wniosek") 1 . Jego celem jest uaktualnienie przepisów dotyczących kredytów konsumenckich w celu uwzględnienia zmian wynikających z procesu cyfryzacji 2 oraz uchylenie dyrektywy 2008/48/WE w sprawie umów o kredyt konsumencki. 3
2. Wniosek sporządzono na podstawie oceny REFIT, która wykazała, że cele dyrektywy 2008/48/WE, mianowicie zapewnienie wysokich standardów ochrony konsumentów i sprzyjanie rozwojowi wewnętrznego rynku kredytów, są nadal aktualne. Jednocześnie ustalono, że otoczenie regulacyjne pozostaje znacznie rozdrobnione w całej UE, a nieprecyzyjne sformułowania niektórych przepisów dyrektywy prowadzą do niepewności prawa, która utrudnia sprawne funkcjonowanie wewnętrznego rynku kredytów konsumenckich i nie gwarantuje stałego wysokiego poziomu ochrony konsumentów 4 .
3. W tym kontekście wniosek ma przyczynić się do zwiększenia ochrony konsumentów poprzez wyeliminowanie uchybień dotyczących zakresu stosowania dyrektywy 2008/48/WE, wzmocnienie i harmonizację obowiązku udzielania konsumentom odpowiednich informacji i wyjaśnień, ustanowienie zabezpieczeń związanych m.in. z oprocentowaniem i kosztem kredytu oraz propagowanie edukacji finansowej.
4. Europejski Inspektor Ochrony Danych zwraca uwagę, że wniosek będzie miał wyraźny wpływ na ochronę danych, w szczególności w świetle przepisów dotyczących: reklamy i marketingu umów o kredyt (art. 7); spersonalizowanych ofert na podstawie zautomatyzowanego przetwarzania danych (art. 13); obowiązku przeprowadzenia oceny zdolności kredytowej konsumenta (art. 18), co może wiązać się z koniecznością sprawdzenia odpowiednich baz danych (art. 18 ust. 9), również prowadzonych w państwie członkowskim innym niż państwo kredytodawcy w przypadku transgra- nicznych usług kredytowych (art. 19); usług doradczych (art. 16); działań wymienionych w art. 32 ust. 1 lit. a)-e).
5. W dniu 1 lipca 2021 r. Komisja Europejska zwróciła się do Europejskiego Inspektora Ochrony Danych o wydanie opinii w sprawie wniosku, zgodnie z art. 42 ust. 1 rozporządzenia (EU) 2018/1725. Uwagi te ograniczają się do przepisów wniosku, które są istotne z punktu widzenia ochrony danych.
4. Wnioski
W związku z powyższym EIOD:
- z zadowoleniem odnosi się do celu realizowanego we wniosku, jakim jest wzmocnienie ochrony konsumentów, aby przeciwdziałać zagrożeniom związanym z cyfryzacją kredytów konsumenckich;
- przypomina o komplementarności ochrony konsumentów i danych oraz o istotnej roli, jaką ta ostatnia może odegrać również w zakresie wzmocnienia pozycji konsumenta;
- zaleca dalsze doprecyzowanie kategorii danych, które mogą lub nie mogą zostać wykorzystane do celów oceny zdolności kredytowej, oraz wprowadzenie kategorycznego zakazu wykorzystywania wszelkich specjalnych kategorii danych osobowych na mocy art. 9 RODO w części normatywnej wniosku;
- sugeruje dokładniejsze wskazanie, które źródła zewnętrzne mogą być uznane za "istotne" w kontekście oceny zdolności kredytowej;
- poleca uregulowanie kwestii wymogów, roli i zakresu odpowiedzialności baz danych zawierających informacje o kredytach lub stron trzecich dostarczających "punktowe oceny zdolności kredytowej" wraz z przedstawieniem dalszych wyjaśnień dotyczących sytuacji, w których konsultacje z takimi źródłami zewnętrznymi są konieczne i współmierne;
- proponuje dodanie w art. 18 ust. 3 wniosku zapisu określającego, że procedury oceny zdolności kredytowej obejmują procedurę kontroli jakości danych;
- zaleca, aby w art. 18 ust. 6 i motywie 48 wniosku zastąpić termin "interwencja" [człowieka] terminem "ocena". Europejski Inspektor Ochrony Danych kieruje też zalecenie, aby informować konsumenta o sytuacji, w której ocena zdolności kredytowej opiera się na zautomatyzowanym przetwarzaniu danych we wszystkich przypadkach (tzn. nie tylko w przypadku odrzucenia wniosku o kredyt);
- z zadowoleniem przyjmuje wprowadzenie obowiązku informowania konsumentów o fakcie przedstawienia im oferty spersonalizowanej. EIOD zaleca jednak, aby uzupełnić tę informację o obowiązek przedstawienia jasnych, zrozumiałych i jednolitych informacji na temat parametrów stosowanych do określenia ceny oraz wyraźnego określenia kategorii danych osobowych, które mogą być wykorzystane jako parametry służące sporządzeniu spersonalizowanej oferty;
- z uznaniem przyjmuje przyznanie konsumentowi prawa do uzyskania informacji na temat wyniku oceny jego zdolności kredytowej na podstawie informacji zawartych w bazie danych. Europejski Inspektor Ochrony Danych proponuje jednak, aby wprowadzić wymóg uprzedniego informowania wnioskodawcy o takich działaniach. Zaleca również, aby ujednolicić kategorie informacji, które mogą być zawarte w bazach danych do celów oceny zdolności kredytowej;
- zaleca, aby we wniosku wyraźnie zaznaczyć, że nie można wykorzystywać danych gromadzonych i przetwarzanych w kontekście oceny zdolności kredytowej do celów reklamowych i marketingowych;
- proponuje, aby we wniosku dokładniej określić, które informacje dotyczące sytuacji finansowej konsumenta, jego preferencji i celów powiązanych z umową kredytową lub usługami w zakresie pożyczek społecznościowych można uznać za "ściśle niezbędne" do celów świadczenia usług doradczych i działań wymienionych w art. 32 ust. 1 wniosku;
- zaleca uwzględnienie przepisu i odpowiedniego motywu dotyczącego stosowania RODO w odniesieniu do wniosku, w szczególności do przetwarzania danych osobowych przez kredytodawców i dostawców usług w zakresie pożyczek społecznościowych;
- przypomina o potrzebie zintegrowania wymogów wynikających z przepisów dotyczących ochrony danych i przepisów dotyczących kredytów konsumenckich z wymogami zawartymi w projekcie aktu w sprawie sztucznej inteligencji, w szczególności w kontekście certyfikacji systemów sztucznej inteligencji wykorzystywanych do oceny zdolności kredytowej, zwłaszcza w ramach procesu oceny zgodności (strony trzeciej), zanim zostanie nadane oznakowanie zgodności CE.
Bruksela, dnia 26 sierpnia 2021 r.
p.o. Leonardo CERVERA NAVAS Wojciech Rafał WIEWIÓROWSKI
Dyrektor
