Pożyczka na dowód: jakie dane może żądać firma legalnie

Przez
Henryk Rutkowski
-
0
15
Rate this post

Nawigacja po artykule:

Pożyczka na dowód – co to znaczy w praktyce

Hasło marketingowe kontra rzeczywiste wymagania

Hasło „pożyczka na dowód” brzmi prosto: wystarczy dowód osobisty i pieniądze są na koncie. W praktyce oznacza to jednak coś innego niż potocznie się zakłada. W języku reklam „tylko na dowód” ma podkreślać brak konieczności dostarczania zaświadczenia o dochodach z zakładu pracy czy sterty dokumentów, a nie całkowity brak innych danych. Firma pożyczkowa nadal musi ustalić, z kim zawiera umowę i czy dana osoba ma szansę spłacić zobowiązanie.

Marketing mocno upraszcza rzeczywistość. Pożyczkodawca nie może oprzeć całej procedury na samym fakcie, że ktoś pokaże plastikową kartę z napisem „dowód osobisty”. Potrzebne są konkretne dane z tego dokumentu oraz z innych źródeł, aby zweryfikować tożsamość i przeprowadzić ocenę ryzyka. To, co w reklamie wygląda na minimum formalności, w dokumentach wewnętrznych firmy jest opisane szczegółowymi procedurami zbierania i przetwarzania danych.

Pytanie kontrolne brzmi: co wiemy? Wiadomo, że zawsze wystąpi wymóg weryfikacji tożsamości oraz zebrania przynajmniej podstawowych informacji finansowych. Czego nie wiemy na pierwszy rzut oka? Jak szeroki będzie zakres tych informacji i czy wszystkie żądane dane rzeczywiście są niezbędne i legalne. Właśnie ten obszar wymaga świadomego podejścia ze strony klienta.

Pożyczka pozabankowa, kredyt bankowy i chwilówka online – różne standardy danych

Pojęcie „pożyczka na dowód” najczęściej dotyczy sektora pozabankowego – firm pożyczkowych, które udzielają finansowania z własnych środków, poza systemem bankowym. Banki rzadko używają takiego sloganu, bo ich procedury są zwykle bardziej rozbudowane i szczegółowo opisane w przepisach nadzorczych. Jednak niezależnie od etykiety, każdy podmiot ma obowiązek sprawdzić tożsamość i zdolność kredytową klienta.

W typowym kredycie bankowym zakres danych jest szeroki: oprócz danych z dowodu osobistego pojawiają się rozbudowane informacje o dochodach, zatrudnieniu, historii kredytowej, często z automatycznym pobraniem danych z BIK. Banki korzystają też z wewnętrznych scoringów i modeli ryzyka, które wymagają karmienia danymi – to przekłada się na bardziej szczegółowe formularze.

Firmy pożyczkowe, szczególnie te oferujące szybkie chwilówki online, próbują ograniczyć liczbę kroków po stronie klienta. Deklarują zatem brak „papierologii”, ale w praktyce proszą o wypełnienie elektronicznego formularza z podstawowymi danymi osobowymi, finansowymi i kontaktowymi. Czasem wykorzystują zewnętrzne narzędzia (np. logowanie do bankowości) do oceny wpływów na konto. Różnica jest więc raczej w sposobie i wygodzie zbierania danych niż w samym fakcie ich gromadzenia.

„Tylko dowód” czyli brak zaświadczeń, a nie brak informacji

Hasło „pożyczka na dowód” należy czytać jako „pożyczka bez zaświadczeń od pracodawcy i bez zbędnych dokumentów papierowych”. Oznacza to brak konieczności dostarczania fizycznych zaświadczeń o zatrudnieniu czy zarobkach, ale nie brak pytań o dochody czy sytuację finansową. Te informacje mogą być zebrane w formie oświadczenia, wypełnienia pól w formularzu lub poprzez dostęp do danych z konta bankowego.

Przykładowo przy krótkoterminowej pożyczce online klient podaje: dane z dowodu, adres zamieszkania, numer telefonu, dochód miesięczny, rodzaj zatrudnienia, czasem sumaryczne koszty stałe. Firma nie wymaga jednak przedstawiania fizycznego zaświadczenia od pracodawcy ani umowy o pracę. Dla klienta to duże ułatwienie logistyczne, ale wciąż oznacza przekazanie szeregu informacji, które są danymi osobowymi i podlegają ochronie.

W efekcie „tylko dowód” w ujęciu reklamowym nie oznacza, że firma zadowoli się samą nazwą i numerem na dokumencie. Zawsze pojawi się pakiet danych niezbędnych do zawarcia umowy. Kluczowe pytanie brzmi, czy firma nie wychodzi poza ten zakres i nie zbiera informacji, które z udzieleniem pożyczki mają niewiele wspólnego.

Ramy prawne: na jakiej podstawie firmy mogą żądać danych

RODO, ustawa o kredycie konsumenckim i przeciwdziałanie praniu pieniędzy

Zakres danych osobowych przy pożyczce na dowód nie wynika z fantazji firmy, lecz z konkretnych przepisów. W pierwszej kolejności trzeba wskazać RODO (ogólne rozporządzenie o ochronie danych osobowych), które określa ogólne zasady przetwarzania danych. Do tego dochodzi ustawa o kredycie konsumenckim, nakazująca m.in. badanie zdolności kredytowej, oraz przepisy dotyczące przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML), które regulują identyfikację klienta i weryfikację jego tożsamości.

Firmy pożyczkowe – podobnie jak banki – muszą także stosować się do regulacji sektorowych, takich jak prawo bankowe (w przypadku banków) czy wytyczne organów nadzoru. Wspólnym mianownikiem jest to, że ustawodawca oczekuje od pożyczkodawców zarówno dbałości o bezpieczeństwo środków, jak i o bezpieczeństwo danych osobowych klientów. To napięcie między koniecznością zbierania danych a obowiązkiem ich ochrony jest kluczowe dla zrozumienia, jakie żądania są legalne.

Podstawą prawną przetwarzania danych w większości przypadków nie jest „luźna zgoda”, tylko konieczność wykonania umowy lub wypełnienia obowiązku prawnego. Oznacza to, że wiele danych firma może przetwarzać bez odrębnego podpisywania zgody, ale tylko w zakresie koniecznym do celu, jakim jest udzielenie pożyczki i wypełnienie wymogów prawnych (m.in. AML).

Obowiązek badania zdolności kredytowej a gromadzenie danych

Ustawa o kredycie konsumenckim nakłada na pożyczkodawcę obowiązek sprawdzenia, czy klient będzie w stanie spłacić zobowiązanie. Brak takiego badania może być uznany za naruszenie prawa, szczególnie jeśli prowadzi do nieodpowiedzialnego zadłużania. Wynika z tego wprost, że brak gromadzenia danych finansowych byłby problemem, a nie przejawem „życzliwości” wobec klienta.

Żeby zbadać zdolność kredytową, firma musi zebrać informacje o dochodach, wydatkach, zobowiązaniach oraz historii spłaty wcześniejszych kredytów czy pożyczek. Bez tego ocena ryzyka byłaby czysto fikcyjna. W razie sporu pożyczkodawca musi wykazać, że zbadał sytuację finansową pożyczkobiorcy w sposób adekwatny do kwoty i rodzaju produktu.

Nie oznacza to jednak pełnej dowolności. Dane finansowe powinny być zbierane w zakresie proporcjonalnym do ryzyka – przy niewielkiej chwilówce online zakres informacji może być mniejszy niż przy wysokim kredycie ratalnym. Jeśli firma żąda bardzo szczegółowych danych przy minimalnej kwocie, może to budzić pytania o zgodność z zasadą minimalizacji z RODO.

Zasady RODO: minimalizacja, celowość i ograniczenie przechowywania

RODO wprowadza kilka zasad, które w praktyce są bezpośrednio odczuwalne przy zaciąganiu pożyczki na dowód. Najważniejsze z nich to:

  • zasada minimalizacji danych – zbiera się tylko te dane, które są niezbędne do konkretnego celu,
  • zasada celowości – dane są przetwarzane wyłącznie w jasno określonym celu (np. udzielenie i obsługa pożyczki),
  • zasada ograniczenia przechowywania – dane nie powinny być przechowywane dłużej niż to konieczne do celu, dla którego zostały zebrane.

W praktyce oznacza to, że pożyczkodawca musi być w stanie wyjaśnić, po co zbiera konkretną informację oraz jak długo ją będzie przechowywać. Jeśli we wniosku pojawia się pytanie, które trudno powiązać z oceną zdolności kredytowej lub obowiązkami AML, istnieje podstawa, by je zakwestionować. Klient ma prawo zapytać, na jakiej podstawie prawnej firma żąda danej informacji i w jakim celu ją przetwarza.

RODO daje konsumentowi także prawo do wglądu w swoje dane, ich sprostowania, a w niektórych przypadkach – usunięcia. Jednak w odniesieniu do pożyczek prawo do „bycia zapomnianym” jest ograniczone przez przepisy nakazujące przechowywać dokumentację umów oraz danych związanych z przeciwdziałaniem praniu pieniędzy przez określony czas.

Odpowiedzialność pożyczkodawcy za dane klienta

Firma pożyczkowa odpowiada za to, w jaki sposób gromadzi, przechowuje i zabezpiecza dane osobowe klientów. Obejmuje to zarówno poprawność formalną (klauzule informacyjne, rejestry czynności przetwarzania), jak i kwestie techniczne, takie jak szyfrowanie, kontrola dostępu czy procedury reagowania na wycieki danych.

Pożyczkodawca nie może przerzucić odpowiedzialności za bezpieczeństwo danych na klienta, powołując się np. na to, że klient przesłał dokumenty mailem lub korzystał z niezabezpieczonej sieci. Firma powinna zaoferować bezpieczne kanały przekazywania dokumentów i jasno wskazać, który z nich jest przeznaczony do wrażliwych informacji. Jeśli propozycja przesłania skanu dowodu na zwykły adres e-mail wychodzi od pracownika firmy, to po stronie firmy leży odpowiedzialność za taki sposób działania.

Odrębną kwestią jest odpowiedzialność za decyzję kredytową. Prawo zobowiązuje firmy do ostrożnego pożyczania, ale nie bierze z nich odpowiedzialności za późniejsze problemy klienta z zarządzaniem budżetem. Dlatego kluczowe jest, aby klient rozumiał, jakie dane są wymagane prawem, a kiedy prośba o dodatkowe informacje powinna zapalić czerwoną lampkę.

Wypełnianie wniosku o pożyczkę konsumencką przy drewnianym stole
Źródło: Pexels | Autor: RDNE Stock project

Jakie dane są niezbędne do udzielenia pożyczki na dowód

Dane identyfikacyjne, bez których umowa nie powstanie

Podstawowa kategoria to dane identyfikacyjne pożyczkobiorcy. Bez nich zawarcie umowy byłoby w praktyce niemożliwe. Typowy zakres obejmuje:

  • imię (imiona) i nazwisko,
  • numer PESEL,
  • serię i numer dowodu osobistego lub innego dokumentu tożsamości,
  • datę urodzenia (czasem wynika z PESEL, ale bywa osobno wskazywana),
  • adres zameldowania i/lub adres zamieszkania,
  • obywatelstwo.

Te informacje pozwalają jednoznacznie ustalić, kim jest klient, a także przeprowadzić weryfikację w bazach zewnętrznych (np. rejestry dłużników). Dane z dowodu osobistego są także potrzebne do prawidłowego sporządzenia umowy i do dochodzenia roszczeń w razie sporu. Bez nich firma pożyczkowa narażałaby się na poważne ryzyko prawne.

W części firm wymagany jest również numer identyfikacyjny dokumentu w systemie państwowym lub informacja o dacie ważności dowodu. To pozwala ocenić, czy dokument jest aktualny. Jeśli dowód jest nieważny, firma ma prawo odmówić zawarcia umowy, ponieważ nie posiada wiarygodnego potwierdzenia tożsamości.

Dane kontaktowe i kanały komunikacji

Druga grupa to dane kontaktowe. Firmy pożyczkowe potrzebują praktycznego sposobu komunikacji z klientem, zarówno na etapie zawierania umowy, jak i późniejszej obsługi. Najczęściej wymagane są:

  • numer telefonu komórkowego,
  • adres e-mail,
  • w przypadku pożyczek online – numer rachunku bankowego, na który mają trafić środki.

Numer telefonu służy do potwierdzania tożsamości (kody SMS, autoryzacja umowy), przypominania o ratach lub kontaktu w razie problemów ze spłatą. Adres e-mail umożliwia przesyłanie dokumentów, regulaminów, informacji o zmianach w umowie. Bez tych danych pożyczka w pełni zdalna byłaby zwyczajnie niewykonalna.

Numer konta bankowego jest nie tylko potrzebny do wypłaty środków. Często jest też elementem weryfikacji tożsamości – porównuje się dane właściciela rachunku z danymi z wniosku. Przy przelewie weryfikacyjnym z konta na konto pojawia się dodatkowy poziom pewności, że osoba składająca wniosek jest rzeczywiście tą, za którą się podaje.

Podstawowe dane finansowe: dochody, źródła utrzymania, zobowiązania

Ocena zdolności kredytowej wymaga informacji o sytuacji finansowej klienta. Nawet jeśli nie jest wymagane zaświadczenie o zarobkach, pożyczkodawca ma prawo – i obowiązek – pytać o:

  • miesięczny dochód netto,
  • źródło dochodu (umowa o pracę, działalność gospodarcza, umowa cywilnoprawna, świadczenia),
  • przybliżoną wysokość stałych wydatków (np. czynsz, media, alimenty),
  • liczbę osób na utrzymaniu,
  • istniejące zobowiązania kredytowe i pożyczkowe.

Takie dane pozwalają wyliczyć, czy po spłacie raty klientowi pozostanie kwota niezbędna do pokrycia podstawowych potrzeb. Firmy stosują własne modele oceny zdolności, jednak rdzeń jest podobny: ustala się, jaką część dochodu staną się raty i czy nie przekracza to przyjętych limitów.

Jeżeli pożyczka na dowód jest udzielana bez jakichkolwiek pytań o dochody czy obciążenia, pojawia się pytanie o rzetelność firmy. Z prawnego punktu widzenia brak oceny zdolności może być oceniony jako nienależyta staranność i sprzyjanie nadmiernemu zadłużaniu. Odpowiedzialny pożyczkodawca nie unika zebrania podstawowych danych finansowych, choć próbuje robić to w możliwie mało uciążliwy sposób.

Sprawdzanie baz BIK, BIG, KRD – jakie dane są przetwarzane

Udostępnianie danych do BIK i biur informacji gospodarczej

Żeby sprawdzić historię zadłużenia klienta, pożyczkodawcy korzystają z baz takich jak BIK (Biuro Informacji Kredytowej) czy biura informacji gospodarczej (BIG, KRD, ERIF i inne. W praktyce oznacza to przetwarzanie i wymianę danych między instytucjami, ale w dość ściśle określonych ramach prawnych.

Do zapytania o historię kredytową potrzebne są przede wszystkim dane identyfikacyjne pozwalające jednoznacznie dopasować osobę w systemie, czyli m.in.:

  • imię i nazwisko,
  • PESEL,
  • adres zamieszkania lub korespondencyjny,
  • czasem seria i numer dokumentu tożsamości.

Pożyczkodawca uzyskuje z BIK informacje o dotychczasowych kredytach, pożyczkach i terminowości spłat. Z kolei z BIG czy KRD – dane o ewentualnych zaległościach zgłoszonych przez wierzycieli. Po stronie klienta pojawia się pytanie: czy firma może to robić bez jego zgody? Odpowiedź zależy od rodzaju informacji:

  • w odniesieniu do zapytań o aktualne zobowiązania podstawą bywa zarówno zgoda, jak i przepisy szczególne, które pozwalają na przetwarzanie bez zgody w celu oceny ryzyka kredytowego,
  • w odniesieniu do danych pozytywnych w BIK (informacje o poprawnie spłacanych kredytach) częściej wymagana jest odrębna zgoda na ich dalsze przetwarzanie po wygaśnięciu zobowiązania.

Firma ma obowiązek poinformować klienta, z jakich baz korzysta, w jakim celu to robi oraz na jakiej podstawie prawnej. Jeżeli w formularzu pojawia się kilka różnych zgód związanych z BIK/BIG (np. osobno na sprawdzenie, osobno na przekazywanie informacji), każdą z nich trzeba rozpatrywać oddzielnie. Odmowa zgody na cele dodatkowe (np. marketing) nie powinna blokować udzielenia pożyczki, o ile pożyczkodawca ma inną podstawę do oceny zdolności kredytowej.

Jakie dodatkowe dane firmy często żądają i kiedy mają do tego prawo

Zaświadczenia o dochodach i dokumenty potwierdzające zatrudnienie

Przy wyższych kwotach pożyczki lub dłuższych okresach spłaty firmy coraz częściej proszą o dokumenty potwierdzające dochody. Najczęściej spotykane są:

  • zaświadczenie o zatrudnieniu i zarobkach od pracodawcy,
  • wyciąg z rachunku bankowego za ostatnie miesiące,
  • PIT z ostatniego roku (częściej przy działalności gospodarczej),
  • decyzja o przyznaniu emerytury, renty lub innego świadczenia.

Podstawą jest tu znów obowiązek zbadania zdolności kredytowej oraz ochrona przed wyłudzeniami. Jeżeli ktoś deklaruje wysokie zarobki, ale nie chce przedstawić żadnego dowodu, pożyczkodawca może uznać ryzyko za zbyt wysokie i odmówić zawarcia umowy. Pytanie kontrolne brzmi: czy zakres żądanych dokumentów jest proporcjonalny do kwoty i rodzaju produktu?

Przy niewielkich chwilówkach online wymóg dostarczenia kilku różnych zaświadczeń może być trudny do obrony w świetle zasady minimalizacji danych. Przy pożyczce ratalnej na relatywnie wysoką sumę sytuacja wygląda inaczej – tam tak daleko idąca weryfikacja bywa standardem, a sądy rzadko uznają ją za nadmierną.

Dane o stanie cywilnym, wykształceniu i sytuacji mieszkaniowej

We wnioskach często pojawiają się pytania, które nie wynikają bezpośrednio z obowiązków ustawowych, ale służą budowie modelu ryzyka. Dotyczy to zwłaszcza danych takich jak:

  • stan cywilny (kawaler/panna, żonaty/zamężna, rozwiedziony itp.),
  • liczba dzieci i osób na utrzymaniu,
  • forma zamieszkania (własne mieszkanie, wynajem, mieszkanie u rodziny),
  • poziom wykształcenia,
  • zawód lub branża zatrudnienia.

W praktyce wiele firm wykorzystuje te informacje do oceny stabilności dochodu i prawdopodobieństwa niewypłacalności. Przepisy nie zabraniają takiego podejścia, o ile:

  • dane faktycznie służą ocenie ryzyka kredytowego,
  • są niezbędne dla zastosowanego modelu scoringowego,
  • nie prowadzą do dyskryminacji osób z określonych grup (np. singli, rodzin wielodzietnych).

Jeżeli klient nie widzi związku między konkretnym pytaniem a oceną zdolności (np. pytanie o poziom wykształcenia przy bardzo małej pożyczce), może poprosić o wyjaśnienie. Pożyczkodawca powinien być w stanie wskazać, że dane są potrzebne do podjęcia decyzji kredytowej, a nie – na przykład – do profilu marketingowego.

Zgody marketingowe i profilowanie oferty

Obok danych niezbędnych do udzielenia pożyczki często pojawiają się pola dotyczące zgód marketingowych i przetwarzania danych w celach „analizy preferencji” czy „dopasowania oferty”. To osobna kategoria, która nie jest wymagana dla samego zawarcia umowy.

Typowe przykłady takich zgód to:

  • zgoda na kontakt telefoniczny, mailowy lub SMS w celach marketingowych,
  • zgoda na profilowanie w celu przedstawiania dopasowanych ofert,
  • zgoda na udostępnianie danych partnerom biznesowym w celach marketingowych.

Z punktu widzenia RODO zgoda musi być dobrowolna, konkretna i świadoma. Nie powinna być „wymuszana” poprzez uzależnienie jej od przyznania pożyczki. Praktyka rynku bywa jednak różna, a klienci nie zawsze odróżniają zgodę wymaganą prawem (np. na sprawdzenie baz dłużników) od zgody, którą można bez większych konsekwencji odmówić.

Dobrze jest sprawdzić, czy formularz jasno rozróżnia zgody konieczne do realizacji umowy od tych dodatkowych. Jeżeli brak zgody marketingowej blokuje przejście do kolejnego kroku, może to budzić wątpliwości co do zgodności z RODO.

Zbliżenie umowy pożyczki na drewnianym stole
Źródło: Pexels | Autor: RDNE Stock project

Skan dowodu, selfie z dowodem, przelew weryfikacyjny – co jest dopuszczalne

Weryfikacja tożsamości poprzez skan lub zdjęcie dokumentu

Przy pożyczkach udzielanych na odległość jednym z kluczowych problemów jest upewnienie się, że wniosek składa faktyczny posiadacz dowodu, a nie osoba, która przejęła jego dane. Dlatego wiele firm prosi o:

  • skan dowodu osobistego,
  • zdjęcie dowodu wykonane telefonem,
  • zdjęcie twarzy (selfie) obok dowodu.

Z perspektywy prawa co do zasady jest to dopuszczalne, o ile pożyczkodawca może wykazać, że taka forma weryfikacji jest niezbędna i proporcjonalna do ryzyka. Jednocześnie GIODO, a później PUODO, wielokrotnie wskazywały, że kopiowanie dowodów osobistych nie może być standardem zawsze i wszędzie – trzeba uzasadnić, po co firmie pełna kopia, zamiast np. spisania danych.

Istotne są tu dwie kwestie:

  1. zakres danych widocznych na skanie – część informacji na dowodzie (np. zdjęcie, miejsce urodzenia, imiona rodziców w starych dokumentach) może nie być niezbędna. Niektóre systemy automatycznego maskowania pozwalają „zasłonić” zbędne pola;
  2. sposób przechowywania kopii dokumentu – zdjęcia czy skany dowodu są szczególnie wrażliwe z punktu widzenia ryzyka kradzieży tożsamości. Firma musi mieć podwyższone standardy zabezpieczeń i ograniczony dostęp do tych plików.

Jeżeli pożyczkodawca żąda wysłania skanu dowodu na zwykły adres e-mail lub komunikatorem, jest to sygnał alarmowy. Nawet jeśli przepisy nie zakazują kopiowania dokumentu, sposób jego przesłania musi zapewniać odpowiedni poziom bezpieczeństwa technicznego.

Selfie z dowodem i wideoweryfikacja

Coraz popularniejsza staje się wideoweryfikacja i prośba o wykonanie selfie z dowodem trzymanym przy twarzy. Taki proces ma ograniczyć ryzyko wykorzystania skradzionego dokumentu i z punktu widzenia firm jest atrakcyjny – zwiększa pewność, że dokument faktycznie należy do osoby składającej wniosek.

Z prawnego punktu widzenia w grę wchodzi tu przetwarzanie danych biometrycznych, a więc kategorii szczególnie chronionej przez RODO, jeśli są one używane do jednoznacznego zidentyfikowania osoby fizycznej. Granica nie zawsze jest oczywista: zwykłe zdjęcie twarzy nie musi być jeszcze daną biometryczną, ale jeśli system analizuje cechy twarzy, tworzy szablon geometrii czy wykorzystuje rozpoznawanie twarzy – wchodzimy już w obszar danych wrażliwych.

Co wiemy na pewno?

  • firma powinna jasno wskazać, czy przetwarza dane biometryczne (a nie tylko zwykłe zdjęcie) i na jakiej podstawie prawnej to robi,
  • w przypadku danych biometrycznych podstawą przetwarzania bardzo często jest wyraźna zgoda klienta, trudna do zastąpienia inną przesłanką,
  • klient powinien otrzymać alternatywną ścieżkę weryfikacji (np. wizytę w oddziale, przelew weryfikacyjny), jeżeli nie godzi się na biometrię.

Jeżeli system weryfikacji wymaga nagrania krótkiego filmiku, wykonania określonych ruchów głową czy odczytania kodu, prawdopodobieństwo, że dochodzi do przetwarzania danych biometrycznych, jest wysokie. W takiej sytuacji warto uważnie przeczytać klauzulę informacyjną i zakres żądanej zgody.

Przelew weryfikacyjny z rachunku bankowego

Alternatywą dla kopiowania dokumentów jest tzw. przelew weryfikacyjny. Klient dokonuje przelewu na niewielką kwotę (np. 1 zł) ze swojego rachunku na rachunek pożyczkodawcy, a firma porównuje dane właściciela konta z danymi we wniosku.

Jest to rozwiązanie szeroko stosowane i generalnie uznawane za zgodne z przepisami, o ile:

  • klient jest wcześniej poinformowany, że dane z przelewu zostaną wykorzystane do weryfikacji tożsamości,
  • firma nie pozyskuje z rachunku więcej informacji, niż jest to konieczne (np. nie analizuje historii transakcji bez wyraźnej podstawy prawnej i zgody),
  • kwota przelewu nie jest ukrytą opłatą za rozpatrzenie wniosku, lecz jest zwracana albo zaliczana na poczet przyszłej raty.

W ostatnich latach pojawiły się też zewnętrzni dostawcy usług „open banking”, którzy po zalogowaniu klienta do bankowości elektronicznej udostępniają pożyczkodawcy wybrane dane z konta (np. historię wpływów i wydatków). To narzędzie pozwala bardzo precyzyjnie ocenić zdolność kredytową, ale oznacza także dostęp do szerokiego pakietu wrażliwych informacji o życiu klienta.

Jeżeli firma korzysta z takich rozwiązań, powinna wprost wskazać:

  • jakie dane z rachunku będą pobierane (np. historia wpływów, kategorie wydatków, okres),
  • w jakim celu zostaną użyte i jak długo będą przechowywane,
  • czy dane będą dalej udostępniane innym podmiotom (np. do celów analitycznych).

Klient ma prawo odmówić dostępu do pełnej historii konta i wybrać inną formę potwierdzenia dochodów, np. tradycyjny zaświadczeniowy model, choć trzeba się liczyć z tym, że decyzja kredytowa będzie wówczas mniej korzystna lub negatywna.

Dane, których żądanie powinno wzbudzić podejrzenia

Informacje wrażliwe: zdrowie, poglądy, życie intymne

RODO wyróżnia szczególne kategorie danych osobowych, do których zalicza się m.in.:

  • dane o stanie zdrowia, niepełnosprawności,
  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne, światopogląd religijny lub filozoficzny,
  • przynależność do związków zawodowych,
  • informacje o życiu seksualnym lub orientacji seksualnej.

W klasycznym modelu pożyczki konsumenckiej nie ma uzasadnienia dla zbierania tego typu danych. Jeżeli formularz wniosku lub konsultant telefoniczny pyta o kwestie zdrowotne, przynależność partyjną czy preferencje światopoglądowe, to powinna zapalić się czerwona lampka.

Wyjątki są bardzo specyficzne i rzadkie (np. niektóre ubezpieczenia powiązane z kredytem mogą wymagać ogólnych informacji medycznych), ale w typowych produktach pozabankowych takie pytania nie znajdują oparcia ani w ustawie o kredycie konsumenckim, ani w przepisach AML.

Dane logowania do bankowości i pełne upoważnienia do konta

Za wysoce niebezpieczną praktykę uważa się żądanie:

  • loginu i hasła do bankowości elektronicznej,
  • kodów autoryzacyjnych SMS lub z aplikacji,
  • podpisania pełnomocnictwa umożliwiającego swobodne dysponowanie rachunkiem bankowym.

Banki i instytucje nadzoru konsekwentnie podkreślają, że nikt nie ma prawa żądać od klienta danych uwierzytelniających do rachunku. Firmy korzystające z usług open banking działają w inny sposób – klient loguje się na stronie banku, a pośrednik otrzymuje tylko wybrane dane, nie zaś dostęp do środków ani haseł. Jeżeli pożyczkodawca prosi o login i hasło „w celu szybkiej weryfikacji”, to raczej nie mamy do czynienia z legalnym podmiotem.

Bibliografia

  • Ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim. Sejm Rzeczypospolitej Polskiej (2011) – Obowiązek badania zdolności kredytowej, definicja kredytu konsumenckiego
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Parlament Europejski i Rada UE (2016) – Zasady przetwarzania danych: minimalizacja, celowość, podstawa prawna
  • Rekomendacja T dotycząca dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych. Komisja Nadzoru Finansowego (2013) – Wytyczne KNF dla oceny zdolności kredytowej klientów detalicznych
  • Stanowisko UODO w sprawie przetwarzania danych osobowych przy udzielaniu kredytów i pożyczek. Urząd Ochrony Danych Osobowych – Interpretacja RODO w kontekście produktów kredytowych i pożyczkowych
  • Zasady odpowiedzialnego udzielania kredytów konsumenckich. Urząd Ochrony Konkurencji i Konsumentów – Rekomendacje dotyczące badania zdolności i ochrony konsumenta

Zobacz, co jeszcze dla Ciebie mamy: