Opinia w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie umów o kredyt związanych z nieruchomościami mieszkalnymi.
Dzienniki UE
Dz.U.UE.C.2011.377.5
Akt nienormatywny Wersja od: 23 grudnia 2011 r.
Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie umów o kredyt związanych z nieruchomościami mieszkalnymi
(2011/C 377/02)
(Dz.U.UE C z dnia 23 grudnia 2011 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. WPROWADZENIE
1.
Dnia 31 marca 2011 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie umów o kredyt związanych z nieruchomościami mieszkalnymi (zwany dalej "wnioskiem")1.1. Konsultacje z EIOD
2.
Wniosek został przesłany przez Komisję do EIOD dnia 31 marca 2011 r. EIOD uznaje to pismo za prośbę o konsultację dla instytucji i organów wspólnotowych zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (zwanego dalej "rozporządzeniem (WE) nr 45/2001"). Uprzednio(3), przed przyjęciem wniosku, Komisja umożliwiła EIOD przedstawienie niefor- malnych uwag. EIOD z zadowoleniem przyjmuje otwartość tego procesu, która pomogła poprawić dokument z punktu widzenia ochrony danych na wczesnym etapie. Niektóre ze wspomnianych uwag zostały uwzględnione we wniosku. EIOD z zadowoleniem przyjmuje odniesienie do obecnych konsultacji w preambule wniosku.1.2. Informacje ogólne
3.
Odpowiedzialne udzielanie kredytów określa się we wniosku jako troskę kredytodawców i pośredników o to, by konsumenci byli w stanie spłacić pożyczone kwoty oraz aby odpowiadały one ich potrzebom i warunkom. Koncepcja odpowiedzialnego zaciągania kredytów oznacza, że konsumenci powinni udzielać adekwatnych, pełnych i dokładnych informacji o swojej sytuacji finansowej; zachęca się ich także do podejmowania świadomych i wyważonych decyzji.4.
We wniosku wymienia się czynniki wpływające na decyzję o udzieleniu określonego kredytu hipotecznego, na wybór produktu hipotecznego przez kredytobiorcę oraz na zdolność kredytobiorcy do spłaty kredytu. Czynniki te obejmują sytuację gospodarczą, asymetrie informacyjne i konflikty interesów, luki i niespójności regulacyjne, a także inne czynniki, takie jak poziom wiedzy finansowej kredytobiorców i struktury finansowania hipotecznego. Z punktu widzenia autorów wniosku nieodpowiedzialne zachowanie niektórych podmiotów rynkowych było jednym ze źródeł kryzysu finansowego, w związku z czym należy przedstawić inicjatywę ustawodawczą dotyczącą nieodpowiedzialnego udzielania i zaciągania kredytów, aby uniknąć powtórzenia kryzysu finansowego.5.
Dlatego też we wniosku wprowadzono wymagania ostrożnościowe i nadzorcze wobec kredytodawców oraz obowiązki i prawa dla kredytobiorców, aby ustanowić przejrzyste ramy prawne, które powinny zabezpieczyć rynek hipoteczny UE przed wstrząsami, jakie wystąpiły podczas kryzysu finansowego.1.3. Związek z zasadami ochrony danych w UE
6.
Wniosek obejmuje niektóre rodzaje czynności, które mają związek z zasadami ochrony danych w UE. Odnosi się to głównie do dostępu kredytodawców i pośredników kredytowych do tak zwanej "bazy danych o kredytach" w celu oceny zdolności kredytowej konsumentów oraz do przekazywania przez konsumentów informacji kredytodawcom lub pośrednikom kredytowym.7.
EIOD stwierdza z zadowoleniem, że w obecnej wersji wniosku zamieszczono ważne odniesienia do stosownych zasad ochrony danych. Pragnie jednak wskazać potrzebę zamieszczenia kilku wyjaśnień. Z jednej strony we wniosku nie należy zamieszczać zbyt szczegółowych przepisów dotyczących zasad ochrony danych, która jest zagwarantowana możliwością zastosowania krajowych przepisów wdrażających dyrektywę 95/46/WE do każdej z operacji przetwarzania. Z drugiej strony EIOD sugeruje pewne poprawki do tekstu służące jego wyjaśnieniu oraz uniknięciu przeniesienia kryteriów określających prawa dostępu do bazy danych o kredytach do delegowanych aktów prawnych.2. ANALIZA WNIOSKU
2.1. Odniesienie do dyrektywy 95/46/WE i obowiązek oceny zdolności kredytowej konsumenta
Motyw 30
8.
EIOD stwierdza z zadowoleniem, że we wniosku (w preambule do dyrektywy) zamieszczono odniesienie do dyrektywy 95/46/WE. W motywie 30 mowa jest o ogólnym zastosowaniu dyrektywy 95/46/WE do czynności przetwarzania danych wykonywanych w kontekście oceny zdolności kredytowej konsumentów.9.
Aby jednak podkreślić to, że wszelkie operacje przetwarzania danych muszą odbywać się w zgodzie z przepisami wykonawczymi oraz że właściwymi punktami odniesienia są poszczególne przepisy krajowe wdrażające tę dyrektywę, we wniosku można by zamieścić ogólny artykuł o następującej treści: "Wszelkie przetwarzanie danych osobowych na podstawie niniejszej dyrektywy odbywa się zgodnie ze stosownymi przepisami krajowymi wdrażającymi dyrektywę 95/46/WE". Dzięki wprowadzeniu tego artykułu można byłoby usunąć szczegółowe odniesienia do dyrektywy w art. 15 ust. 3 i art. 16 ust. 4.Artykuł 14
10.
W art. 14 wniosku wprowadzono obowiązek przeprowadzenia przez kredytodawców gruntownej oceny zdolności kredytowej konsumentów. Ocena ta powinna opierać się na pewnych kryteriach, takich jak dochody, oszczędności, długi i inne zobowiązania finansowe konsumenta. Taki obowiązek może mieć znaczące skutki dla prywatności osób ubiegających się o kredyt, gdyż zakres informacji, do których może uzyskać dostęp kredytodawca, jest potencjalnie bardzo obszerny. W związku z tym EIOD z zadowoleniem przyjmuje obecne w tekście uszczegółowienie, ograniczające badania przeprowadzane przez kredytodawcę do "niezbędnych" informacji przez niego uzyskanych. W omawianym artykule stwierdza się ogólnie, że informacje te można uzyskać jedynie z "właściwych źródeł wewnętrznych i zewnętrznych". EIOD z zadowoleniem przyjmuje wyraźne odniesienie do zasad konieczności i proporcjonalności zawartych w art. 6 dyrektywy 95/46/WE, pragnie jednak równocześnie zasugerować, aby źródła, z których można uzyskiwać informacje, określono w miarę możliwości w bardziej szczegółowy sposób.2.2. Dostęp do bazy danych o kredytach
11.
O bazie danych o kredytach wspomina się po raz pierwszy w motywie 27, gdzie podkreśla się jej przydatność w kontekście oceny zdolności kredytowej oraz przez cały okres kredytowania. W motywie tym stwierdza się również, że zgodnie z dyrektywą 95/46/WE konsument powinien zostać poinformowany o przeprowadzeniu kwerendy w bazie danych, jak też powinien mieć prawo dostępu do danych przechowywanych w takiej bazie, ich sprostowania, zablokowania lub usunięcia. W art. 14 określono szczegółowe obowiązki kredytodawcy związane z możliwością odrzucenia wniosku o kredyt, zwłaszcza gdy ma ono związek z danymi uzyskanymi z bazy danych o kredytach.12.
Bardziej ogólne przepisy określające kryteria dostępu do baz danych zawarto w art. 16. Artykuł 16 sformułowano w sposób bardzo ogólny ("Każde państwo członkowskie zapewnia wszystkim kredytodawcom niedyskryminujący dostęp do baz danych wykorzystywanych w danym państwie członkowskim na potrzeby przeprowadzenia oceny zdolności kredytowej [...] i na potrzeby monitorowania przestrzegania przez konsumentów zobowiązań kredytowych [...]"). W tekście nie określono, czy bazy danych powinny zostać zaprojektowane konkretnie pod kątem takich kontroli zdolności kredytowej, kto jest odpowiedzialny za bazę danych, jaki rodzaj informacji może ona zawierać, z czym wiąże się "monitorowanie" przestrzegania przez konsumentów zobowiązań itp. EIOD zdaje sobie sprawę, że bazy danych o kredytach mają różne struktury i są tworzone w różnych kontekstach prawnych w poszczególnych państwach członkowskich, a pełna harmonizacja powyższych kryteriów wychodziłaby poza zakres dyrektywy. Celem wniosku byłoby jednak wprowadzenie zharmonizowanych warunków dostępu do bazy danych, aby na przykład kredytodawca w Belgii mógł uzyskać dostęp do historii kredytowej konsumenta we Włoszech (mimo tego, że belgijskie i włoskie bazy danych mogą się różnić) na takich samych warunkach, jak kredytodawcy włoscy, jeżeli konsument ubiega się o kredyt hipoteczny w Belgii. Szczegółowe kryteria zharmonizowanego dostępu zostaną dodatkowo określone w aktach delegowanych Komisji (zob. art. 16 ust. 2). EIOD odnotowuje też odniesienie do dyrektywy 95/46/WE w art. 16 ust. 4(4).13.
EIOD wyraził już pogląd, że środków, które mają istotne skutki dla prywatności obywateli, nie należy wprowadzać delegowanymi aktami prawnymi. Takie prawodawstwo może oczywiście określać szczegóły, ale najważniejsze implikacje dla obywateli powinny być jasne i uzgodnione w prawodawstwie przyjętym w ramach zwykłej procedury ustawodawczej. Z punktu widzenia ochrony danych EIOD wyraża szczególnie obawy związane ze sprzecznością, jaką dostrzega między ogólną możliwością uzyskiwania dostępu do bazy danych przez pewną (niemożliwą jeszcze do określenia) liczbę podmiotów udzielających kredytu na mocy art. 16, a "lekkim" obowiązkiem wskazanym jedynie w motywie 27, a mianowicie: "przed przeprowadzeniem kwerendy w bazie danych [...] powinien poinformować konsumenta o tym fakcie" a "konsument powinien mieć prawo dostępu do dotyczących go danych osobowych [...] sprostowania, usunięcia lub zablokowania dotyczących go danych osobowych". Zdaniem EIOD konkretna możliwość skorzystania z praw osób, których dane dotyczą, na podstawie dyrektywy 95/46/WE wiąże się z możliwością identyfikacji potencjalnych odbiorców danych osobowych zawartych w bazie danych o kredytach. Skuteczność odniesienia do praw określonych w dyrektywie 95/46/WE może zatem zostać zneutralizowana przez niezdolność osoby, której dane dotyczą, do jasnego i uprzedniego zidentyfikowania osób fizycznych lub prawnych, które mogą uzyskać dostęp do bazy danych.14.
W związku z tym EIOD sugeruje pewne modyfikacje brzmienia dyrektywy w celu usunięcia wskazanych powyżej niedociągnięć. Każdy(5) dostęp do bazy danych powinien podlegać następującym warunkom, które należy zawrzeć w treści art. 16: (i) określeniu kryteriów, na podstawie których kredytodawcy lub pośrednicy kredytowi mogą uzyskać dostęp do bazy danych, a w szczególności wyjaśnieniu, czy tylko ci kredytodawcy lub pośrednicy kredytowi, którzy zawarli umowę z konsumentem lub których konsument zobowiązuje do podjęcia działań na rzecz wejścia z nim w stosunek umowny(6), mogą mieć dostęp do jego danych; (ii) obowiązkowi poinformowania konsumenta z wyprzedzeniem, że dany kredytodawca lub pośrednik kredytowy ma zamiar uzyskać dostęp do jego danych osobowych w bazie danych; (iii) obowiązkowi równoczesnego poinformowania konsumenta o jego prawie do dostępu do danych zawartych w bazie danych oraz ich sprostowania, zablokowania lub usunięcia zgodnie z zasadami określonymi w dyrektywie 95/46/WE.15.
Po uwzględnieniu w akcie prawnym tak ogólnych kryteriów i obowiązków z jego treści można usunąć szczegółowe przepisy art. 14 ust. 2 lit. c) oraz motywu 29 dotyczące obowiązku informowania konsumenta o dostępie do bazy danych w przypadku odrzucenia wniosku o kredyt.3. WNIOSEK
16.
EIOD z zadowoleniem przyjmuje odniesienie do dyrektywy 95/46/WE we wniosku. Sugeruje jednak niewielkie modyfikacje jego brzmienia służące jednoznacznemu określeniu zastosowania zasad ochrony danych do operacji przetwarzania objętych wnioskiem. W szczególności:–
w celu wyraźniejszego wskazania faktu, że właściwymi punktami odniesienia są przepisy krajowe wdrażające dyrektywę 95/46/WE, oraz podkreślenia, że wszelkie operacje przetwarzania danych muszą odbywać się w zgodzie z tymi przepisami wykonawczymi, EIOD sugeruje, aby we wniosku zamieścić nowy artykuł zawierający stosowne sformułowania. Pozwoliłoby to również usunąć z treści wniosku inne odniesienia do dyrektywy 95/46/WE,–
w treści wniosku można by w bardziej szczegółowy sposób wskazać źródła, z których można uzyskiwać informacje o zdolności kredytowej kredytodawcy,–
w treści wniosku należy zawrzeć definicję kryteriów, na podstawie których można byłoby uzyskać dostęp do bazy danych, oraz obowiązki informowania osób, których dane dotyczą, o ich prawach przed uzyskaniem jakiegokolwiek dostępu do bazy danych, co zapewniłoby osobom, których dane dotyczą, konkretną i skuteczną możliwość skorzystania ze swoich praw.Sporządzono w Brukseli dnia 25 lipca 2011 r.
| Giovanni BUTTARELLI | |
| Zastępca Europejskiego Inspektora Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31 (zwana dalej "dyrektywą 95/46/WE").
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) W grudniu 2010 r.
(4) "Niniejszy artykuł pozostaje bez uszczerbku dla stosowania dyrektywy 95/46/WE [...]". Zob. jednak pkt 9, w którym zasugerowano modyfikację tego artykułu.
(5) Termin ten należy interpretować jako dostęp przez dowolnego upoważnionego kredytodawcę w dowolnym momencie.
(6) Zob. art. 7 lit. b) dyrektywy 95/46/WE.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.