Ocena zdolności kredytowej konsumentów przeszła w ostatnich latach prawdziwą rewolucję. Coraz częściej decyzje kredytowe zapadają automatycznie, bez udziału człowieka, a ich podstawą są nie tylko dane finansowe, lecz także rozbudowane profile behawioralne. Nowe technologie – zwłaszcza big data i sztuczna inteligencja – otwierają przed kredytodawcami ogromne możliwości. Jednocześnie niosą ze sobą poważne ryzyka naruszenia prywatności i pogłębienia wykluczenia kredytowego. W tym poradniku wyjaśniamy, jakie prawa przysługują konsumentom w procesie automatycznej oceny zdolności kredytowej, jakie dane mogą być wykorzystywane, a jakie nie – oraz czego się spodziewać po nowych przepisach, takich jak unijny AI Act czy dyrektywa CCD2.
🔍 Czym jest automatyczna ocena zdolności kredytowej?
W praktyce bankowej i pożyczkowej automatyczna decyzja kredytowa oznacza, że system informatyczny – bez udziału człowieka – analizuje dane konsumenta i ocenia, czy posiada on wystarczającą zdolność kredytową. Tego rodzaju decyzje są możliwe na podstawie art. 105a ust. 1a ustawy – Prawo bankowe, który stanowi:
„Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja, prawa do:
- otrzymania wyjaśnień co do podstaw podjętej decyzji,
- uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji,
- wyrażenia własnego stanowiska.”
⚠️ To oznacza, że bank lub firma pożyczkowa nie musi angażować pracownika do oceny wniosku kredytowego, ale ma obowiązek zapewnić transparentność procesu oraz umożliwić konsumentowi odwołanie się do człowieka.
🤖 Sztuczna inteligencja w ocenie zdolności – systemy wysokiego ryzyka
Automatyczna decyzja kredytowa często bazuje na algorytmach uczenia maszynowego (machine learning), które analizują dane o konsumentach i uczą się na ich podstawie podejmować decyzje. W praktyce mamy do czynienia z systemami AI, które mogą z czasem przewidywać np. prawdopodobieństwo zaległości kredytowej.
Według unijnego Rozporządzenia Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act) systemy sztucznej inteligencji wykorzystywane do:
- punktowej oceny kredytowej, oraz
- oceny zdolności kredytowej osób fizycznych
są klasyfikowane jako systemy wysokiego ryzyka.
Zgodnie z art. 26 i 27 AI Act, oznacza to m.in., że:
- kredytodawca musi zagwarantować należytą kontrolę nad działaniem systemu AI,
- systemy muszą być audytowane i transparentne,
- konsument ma prawo do interwencji człowieka i sprzeciwu wobec decyzji opartej wyłącznie na AI.
🧑💼 Przykład:
Pani Dorota z Białegostoku złożyła wniosek o kredyt gotówkowy na 15 tys. zł. Jej wniosek został odrzucony w ciągu 30 sekund. Kiedy poprosiła o wyjaśnienie, bank poinformował, że decyzja została podjęta automatycznie. Dzięki przepisom ustawy Prawo bankowe i nadchodzącemu AI Act, pani Dorota ma prawo:
- uzyskać informację, które dane zaważyły na decyzji,
- zażądać ponownego rozpatrzenia wniosku przez człowieka,
- wnieść uwagi do oceny.
📊 Czy big data może być używane przy ocenie zdolności kredytowej?
Big data to termin obejmujący ogromne zbiory danych, pochodzących z wielu źródeł, takich jak:
- portale społecznościowe (np. Facebook, X, LinkedIn),
- urządzenia IoT (np. smartwatche, lokalizatory GPS),
- dane strumieniowe (np. pomiary zdrowotne),
- dane publiczne (np. rejestry państwowe, portale ogłoszeniowe).
🔒 W obecnym stanie prawnym oraz zgodnie z dyrektywą CCD2:
- nie można wykorzystywać big data (np. danych z social mediów, IoT) jako podstawy do oceny zdolności kredytowej.
- Dozwolone są tylko określone kategorie danych: dokumenty potwierdzające dochód, informacje o aktywach i zobowiązaniach, historia kredytowa itp.
🧑🏫 Przykład:
Pan Jacek prowadzi aktywne życie w sieci – regularnie publikuje zdjęcia z drogich wakacji, check-iny w restauracjach i relacje z zakupów. Mimo to, jego oficjalny dochód wynosi 4200 zł brutto miesięcznie. Bank nie ma prawa opierać decyzji kredytowej na podstawie analizy jego profilu w mediach społecznościowych – nawet jeśli mógłby to zrobić technicznie.
📌 Takie praktyki byłyby sprzeczne z wytycznymi Europejskiego Urzędu Nadzoru Bankowego (EBA) dotyczącymi udzielania i monitorowania kredytów.
Jakie dane mogą być wykorzystywane przy ocenie zdolności kredytowej?
Europejski Urząd Nadzoru Bankowego (EBA) w swoich Wytycznych w sprawie udzielania i monitorowania kredytów jasno wskazuje, jakie dane można wykorzystywać w procesie oceny zdolności kredytowej. Te wytyczne obowiązują wszystkie instytucje kredytowe w Unii Europejskiej i mają na celu zapewnienie uczciwego i przejrzystego procesu udzielania kredytów.
✅ Dozwolone dane to w szczególności:
- potwierdzenie dochodów: np. zaświadczenie od pracodawcy, PIT, wyciąg z konta,
- informacje o aktywach i zobowiązaniach: np. kredyty, leasingi, karty kredytowe, nieruchomości,
- dowody istnienia innych źródeł spłaty: np. alimenty, najem, świadczenia z ZUS,
- historia kredytowa: dane z BIK, BIG, KRD lub wewnętrznych rejestrów,
- dane socjodemograficzne: np. stan cywilny, miejsce zamieszkania, wykształcenie – ale tylko o ile są adekwatne.
❌ Zabronione dane to m.in.:
- informacje z mediów społecznościowych,
- dane o lokalizacji w czasie rzeczywistym (np. z aplikacji mobilnych),
- dane biometryczne (np. puls, długość snu, nawyki zdrowotne),
- dane pochodzące z urządzeń wearable (zegarki, opaski),
- dane o aktywności w internecie (np. strony odwiedzane przez użytkownika),
- dane predykcyjne z analizy big data, jeśli nie mają podstawy w dokumentacji dochodowej.
⚠️ Kredytodawca, który naruszy te zasady, może podlegać kontroli KNF, UODO, a w przypadku systemów opartych na AI – również instytucjom unijnym nadzorującym zgodność z AI Act.
📉 Ryzyko nadużyć i manipulacji danymi big data
Big data ma ogromny potencjał, ale również niesie poważne zagrożenia. Jeśli dane są analizowane bez kontroli i przejrzystości, łatwo może dojść do:
- segregacji kredytowej – np. mieszkańcy niektórych regionów mogą być automatycznie uznawani za mniej wiarygodnych,
- niesprawiedliwej oceny – np. na podstawie błędnych lub przypadkowych korelacji (np. aktywność w godzinach nocnych),
- trwałego wykluczenia finansowego – osoby niespełniające „algorytmicznego profilu” mogą nigdy nie uzyskać kredytu.
🔒 Co ważne, profilowanie musi podlegać szczególnym ograniczeniom – zarówno w RODO (GDPR), jak i w przepisach sektorowych (prawo bankowe, ustawa o kredycie konsumenckim). W szczególności:
- decyzje nie mogą być oparte na danych wrażliwych (np. zdrowie, religia, orientacja),
- nie można stosować profilowania dyskryminacyjnego,
- każda osoba ma prawo do sprzeciwu wobec profilowania.
🕵️ Zanik prywatności – rzeczywistość cyfrowa XXI wieku
Współczesny konsument zostawia ślady niemal w każdej sferze życia – od zakupów online, przez geolokalizację, po aktywność w mediach społecznościowych. To sprawia, że buduje nieświadomie profil cyfrowy, który:
- może być analizowany przez zewnętrzne podmioty (data brokers),
- potencjalnie wykorzystany do marketingu, sprzedaży, a nawet decyzji kredytowych,
- trudny do kontrolowania, a jeszcze trudniejszy do usunięcia.
🧑⚖️ Przykład:
Pani Sylwia aktywnie komentuje posty na temat trudności finansowych na forach internetowych. Teoretycznie, algorytmy AI analizujące zachowania w sieci mogłyby ocenić ją jako osobę o „wysokim ryzyku kredytowym”. Taka praktyka jest jednak nielegalna i niezgodna z wytycznymi EBA oraz RODO – ale jej możliwość techniczna istnieje.
📌 Dlatego też zarówno AI Act, jak i dyrektywa CCD2 przewidują silne mechanizmy kontroli:
- obowiązek zgody na przetwarzanie danych profilowych,
- prawo do informacji o źródłach danych,
- obowiązek umożliwienia sprzeciwu i ponownej oceny przez człowieka.
⚖️ Konsekwencje prawne dla kredytodawców
Firmy kredytowe, które łamią zasady legalnego przetwarzania danych w procesie oceny zdolności kredytowej, muszą się liczyć z poważnymi skutkami:
🔸 Na poziomie krajowym:
- postępowania prowadzone przez Prezesa UODO (kary administracyjne do 20 mln euro lub 4% obrotu),
- kontrole Komisji Nadzoru Finansowego (np. cofnięcie zgody na działalność pożyczkową),
- roszczenia cywilne konsumentów o naruszenie dóbr osobistych.
🔸 Na poziomie unijnym:
- sankcje na podstawie AI Act (projekt przewiduje wysokie kary za użycie niecertyfikowanych systemów AI),
- obowiązek rejestracji i notyfikacji systemów AI w rejestrze unijnym.
🧑🏫 Wskazówka dla przedsiębiorców:
Jeśli Twoja firma rozważa wdrożenie algorytmu AI do analizy ryzyka kredytowego, konieczne będzie:
- wdrożenie systemu zarządzania ryzykiem AI,
- dokumentacja procesu decyzyjnego (tzw. „model governance”),
- przeszkolenie pracowników w zakresie ochrony danych.
🧾 Podsumowanie
✔ Automatyczna ocena zdolności kredytowej jest dziś normą – ale musi być zgodna z prawem.
✔ Konsument ma prawo do przejrzystości, sprzeciwu i interwencji człowieka.
✔ Big data i dane z social mediów nie mogą być wykorzystywane do oceny zdolności.
✔ Systemy AI w ocenie kredytowej są traktowane jako wysokiego ryzyka – podlegają surowym wymogom.
✔ Każdy kredytodawca powinien wdrożyć politykę compliance AI, by uniknąć sankcji i działać etycznie.
📚 Podstawa prawna:
- art. 105a ust. 1a – ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe
- art. 26–27 – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie AI (AI Act)
- art. 22 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/2225 z dnia 18 października 2023 r. w sprawie kredytu konsumenckiego (CCD2)
- Wytyczne EBA w sprawie udzielania i monitorowania kredytów (EBA/GL/2020/06)
🏷️ Tematy porad zawartych w poradniku:
- automatyczna decyzja kredytowa
- AI w bankowości 2025
- big data a zdolność kredytowa
- prawa konsumenta przy scoringu
- AI Act w ocenie kredytowej