Polityka profilowania klientów

Polityka profilowania klientów banku

I. Zakres pojęciowy Polityki

1. Profilowanie w Banku (dalej: Bank) - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych wnioskującego o dokonanie czynności bankowej potencjalnego lub aktualnego klienta Banku (dalej: Klienta), w szczególności do analizy lub prognozy aspektów dotyczących oceny zdolności kredytowej i wiarygodności kredytowej Klienta.

2. Profilowanie w Banku opiera się na odpowiednich matematycznych lub statystycznych procedurach profilowania, z zachowaniem środków technicznych i organizacyjnych zapewniających zmniejszenie ryzyka błędów w procedurach profilowania, w szczególności z uwzględnieniem postanowień BRR/2017/01 Komisji Nadzoru Finansowego dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych oraz DKN/2020/01 Komisji Nadzoru Finansowego dotyczącej zarządzania ryzykiem modeli w bankach.

3. Bank wykorzystuje model oceny punktowej (scoringowy) oparty na tablicy scoringowej¹

II. Zakres zastosowania profilowania w Banku²

a) przeprowadzenie analizy lub prognozy aspektów dotyczących oceny zdolności i wiarygodności kredytowej osoby fizycznej w szczególności poprzez przypisanie jej określonej oceny punktowej (tzw. scoring);

b) realizacja BRR/2017/01 Komisji Nadzoru Finansowego dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych (w szczególności rekomendacji D, E i F) poprzez korzystanie z modeli statystycznych, w szczególności z modeli scoringowych opracowanych i oferowanych przez rejestry kredytowe, w celu oceny zdolności oceny kredytowej wnioskującej osoby fizycznej;

c) podjęcie decyzji kredytowej, w tym przygotowanie oceny zdolności kredytowej, w celu: ustalenia kwoty kredytu/limitu kredytowego dla których Klient, przy uwzględnieniu uzyskiwanych dochodów oraz obsłudze dotychczasowych zobowiązań, posiada możliwość spłaty;

d) przeciwdziałanie praniu pieniędzy, w tym w celu budowania modeli umożliwiających identyfikację działań przestępczych;

e) zapobieganie przestępstwom dokonywanym na szkodę banków, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 4 ust 1 pkt 10 ustawy Prawo Bankowe i ich Klientów - czyli tzw. "fraudom", w tym w celu budowania modeli umożliwiających identyfikację działań przestępczych;

f) przeciwdziałanie nieuczciwej sprzedaży produktów finansowych tj. tzw. missellingowi (w rozumieniu art 69 ust 1 pkt 1 ustawy o obrocie instrumentami finansowymi);

g) segmentacja Klientów, w celu przypisania ich do określonych grup dochodowych, marketingowych; jak również tworzenia grup Klientów, aby na ich podstawie dopasowywać do nich działania banku np. w zakresie: usług, kosztów, kanałów obsługi, procesów komunikacyjno-sprzedażowych;

h) świadczenie marketingu bezpośredniego produktów i usług własnych, w celu przygotowywania i rozsyłania spersonalizowanych ofert bankowych np. kredyt gotówkowy; lokata terminowa, konto oszczędnościowe; ustalanie skłonności do zakupów produktów lub usług - w tym budowa i wykorzystanie w komunikacji modeli propensity to buy;

i) świadczenie marketingu podmiotów z Grupy w celu przygotowania i rozsyłania spersonalizowanych ofert ubezpieczenia na życie; ubezpieczenie mieszkania, fundusz inwestycyjny; ustalanie skłonności do zakupu produktu i/lub usługi - w tym budowanie i wykorzystanie w komunikacji modeli propensity to buy;

j) świadczenie marketingu podmiotów trzecich, w celu przygotowania i rozsyłania spersonalizowanych ofert: leasing samochodu; wynajem długoterminowy samochodu, karta paliwowa; ustalanie skłonności do zakupu produktu i/lub usługi- w tym budowa i wykorzystanie w komunikacji modeli propensity to buy;

k) dostosowanie komunikacji kierowanej do Klientów, w celu ustalania preferowanego kanału kontaktu; treści komunikatów, godziny kontaktu, potencjału dla danej akcji komunikacyjnej; wykorzystanie w komunikacji spersonalizowanej informacji uzyskanych w wyniku wymaganych prawem profilowań - jak np. MiFID;

l) świadczenie usługi serwisu bankowości elektronicznej i aplikacji mobilnej, których działanie w znaczącej funkcjonalności oparte jest o profilowanie danych (w szczególności kategoryzacja płatności Klienta; wysyłanie podpowiedzi do Klienta w zakresie przewidywanych przyszłych płatności na podstawie dotychczas wykonywanych operacji na rachunku w tym wykorzystanie algorytmów detekcji; podpowiedzi i sugestie dotyczące zarządzania majątkiem, korzystania z usług itd.);

m) badanie poziomu wiedzy Klientów o inwestowaniu w instrumenty finansowe oraz doświadczenie inwestycyjne niezbędne do oceny, czy dana usługa maklerska jest odpowiednia dla Klienta;

n) realizacja DKN/2020/01 Komisji Nadzoru Finansowego dotyczącej zarządzania ryzykiem modeli w bankach.

III. Podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu danych osobowych

1. Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego może podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych - również stanowiących tajemnicę bankową - pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

2. Wyjaśnienie co do podstaw podjętej decyzji obejmuje wskazanie podstawy prawnej podjęcia decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu danych osobowych (art. 22 RODO) oraz wskazanie wyniku oceny zdolności kredytowej i analizy ryzyka kredytowego dla możliwości dokonania wnioskowanej czynności bankowej (np. wnioskowanego kredytu) albo możliwości dokonania jej na warunkach różniących się od wnioskowanych przez Klienta. W wyjaśnieniach co do podstaw podjętej decyzji Bank może wykorzystać elementy wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej, o których mowa w pkt 3 (np. podać czynniki).

3. Wyjaśnienie co do podstaw podjętej decyzji stanowi odrębną czynność od udzielanych na wniosek Klienta wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej, wraz ze wskazaniem czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 15 ust 1 lit h, art 22 ust 3 RODO), określonych w Regulaminie udzielania kredytów konsumenckich.³

4. Wyjaśnienie nie obejmuje wskazania wag i konkretnego znaczenia poszczególnych czynników dla oceny zdolności kredytowej.

5. Metodyka profilowania nie jest udostępniana Klientom w zakresie objętym tajemnicą przedsiębiorcy (w szczególności wyżej wymienione: algorytm oraz wagi przypisywane poszczególnym czynnikom), prawami własności intelektualnej lub prawami autorskimi chroniącymi oprogramowanie banku lub rejestru kredytowego.

6. Prawo do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oznacza możliwość złożenia przez Klienta wniosku o ponownie rozpatrzenie sprawy z udziałem pracownika (analityka kredytowego) banku, czyli nie w oparciu o wyłącznie zautomatyzowane przetwarzanie, w tym profilowanie danych osobowych.

7. Prawo do uzyskania interwencji ludzkiej dotyczyć może każdej decyzji podjętej przez Bank opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych, w szczególności nie tylko decyzji negatywnej (o odmowie dokonania czynności bankowej np. odmowie udzielania kredytu), ale także decyzji pozytywnej (np. o przyznaniu kredytu), gdy warunki zaproponowane przez Bank różnią się od wniosku Klienta np. w zakresie kwoty kredytowania, okresu kredytowania, warunków kredytowania czy żądanego ubezpieczenia.

8. W przypadku złożenia wniosku, o którym mowa w pkt 6 nie ma potrzeby składania ponownie dokumentacji przez klienta. Bank opiera się na dokumentacji złożonej pierwotnie przez Klienta we wniosku o dokonanie czynności prawnej, co nie wyklucza możliwości złożenia przez Klienta dodatkowej dokumentacji, nie składanej wcześniej, nie później jednak niż do czasu ponownego rozpatrzenia wniosku.

9. W przypadku złożenia wniosku, o którym mowa w pkt 6 pracownik (analityk kredytowy) Banku może opierać się na wyniku zautomatyzowanego przetwarzania, w tym profilowania danych osobowych, niemniej jednak powinien dokonać własnej oceny z uwzględnieniem własnego doświadczenia i posiadanej wiedzy. Analityk kredytowy może zwrócić się do Klienta o dostarczenie dodatkowych dokumentów (według procedury dotyczącej dokonywania danej czynności bankowej np. udzielania kredytów konsumenckich) lub złożenie dodatkowych oświadczeń.

10. Prawo do wyrażenia własnego stanowiska oznacza możliwość wyrażenia przez Klienta w przypadku złożenia wniosku, o którym mowa w pkt 6 lub także odrębnie, ale przed uzyskaniem interwencji ludzkiej (ponownym rozpatrzeniem sprawy), własnej oceny w zakresie decyzji Banku opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych.

11. Wyrażenie własnej oceny oznacza przedstawienie stanowiska wyjaśniającego w ocenie Klienta, dlaczego nie zgadza się z podjętą decyzją Banku opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych w szczególności, dlaczego w jego ocenie przedstawione we wniosku o dokonanie czynności prawnej dokumenty pozwały na podjęcie przez Bank innej decyzji.

12. Klient nie ma prawa do zakwestionowania zautomatyzowanej decyzji dotyczącej oceny zdolności kredytowej oraz oceny ryzyka kredytowego i nie ma prawa do żądania od Banku zawarcia umowy dotyczącej czynności bankowej (np. umowy kredytu) lub zawarcia jej na warunkach oczekiwanych przez Klienta.

IV. Zakres danych wykorzystywanych do podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu danych osobowych

1. Decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu Bank podejmuje wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące kategorie danych:

1) dane dotyczące osoby fizycznej:

a) imię i nazwisko,

b) Nowak,

c) Jan,

d) 12.03.1980 i Warszawa,

e) 43,

f) mężczyzna,

g) polska,

h) żonaty/zamężna,

i) ABC1234567 lub innego dokumentu potwierdzającego tożsamość,

j) 80031201234, o ile został nadany,

k) 1234567890, o ile został nadany,

l) ul. Kwiatowa 1, 00-001 Warszawa, ul. Polna 2/3, 10-000 Olsztyn, ul. Słoneczna 12, 20-000 Lublin, ul. Leśna 4, 30-000 Kraków,

m) własność,

n) XYZ Sp. z o.o.,

o) programista,

q) wyższe,

r) umowa o pracę,

s) wysokie dochody, niskie wydatki,

t) 2 osoby na utrzymaniu,

u) wspólność majątkowa;

2) dane dotyczące zobowiązania:

a) kredyt hipoteczny w Banku ABC,

b) 200 000 PLN i PLN,

c) 12345678901234567890123456 i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, Bank DEF i ul. Bankowa 1, 00-002 Warszawa,

d) 12.03.2020,

e) raty równe,

f) hipoteka,

g) regularna spłata,

h) brak zaległości,

i) 12.03.2023,

j) brak,

k) brak.

2. Decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu nie mogą być podejmowane w oparciu o dane wrażliwe w rozumieniu art 9 ust 1 RODO.

3. W zakresie w jakim Bank nie opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, ale podejmuje decyzje z uwzględnieniem oceny i analizy pracownika Banku (analityka kredytowego), Bank wykorzystuje do profilowania dane osobowe osoby, której dane dotyczą i dane o jego zobowiązaniach (w tym historię kredytową Klienta) posługując się także, chociaż niewyłącznie przykładowym katalogiem, o którym mowa w pkt 1.

4. Przygotowywanie przez Bank indywidualnych ofert marketingowych kierowanych do Klientów, a będących wynikiem profilowania, w sytuacji gdy Bank wykorzystuje do profilowania dane osobowe osoby, której dane dotyczą i dane o jego zobowiązaniach (w tym historię kredytową Klienta) posługując się także, chociaż niewyłącznie przykładowym katalogiem, nie stanowią zautomatyzowanych decyzji, w zakresie w jakim nie wywołują one wobec Klienta skutków prawnych lub w inny istotny sposób nie wpływają na sytuację Klienta.

5. Przygotowywanie przez Bank indywidualnych ofert marketingowych z udziałem pracownika Banku w sytuacji, gdy Bank wykorzystuje do profilowania dane osobowe osoby, której dane dotyczą i dane o jego zobowiązaniach (w tym historię kredytową Klienta) posługując się także, chociaż niewyłącznie przykładowym katalogiem, nie stanowią zautomatyzowanych decyzji. Dotyczy to np. oferty określonego produktu dla Klienta lub warunków przedłużenia produktu, z którego Klient korzysta w szczególności, gdy bank dokonuje weryfikacji przyznanego Klientowi limitu zadłużenia w karcie kredytowej, przed wydaniem nowej karty kredytowej na kolejny rok.