Artikel 22 i GDPR
Automatiserede afgørelser
Automatiserede beslutninger er beslutninger, der udelukkende er baseret på en eller anden form for automatiseret beslutningstagning, med eller uden profilering. For eksempel gennem algoritmer, uden inddragelse af en fysisk persons dømmekraft.
Automatiserede beslutninger med eller uden profilering
Automatiske afgørelser kan i væsentlig grad påvirke registrerede eller have retlige konsekvenser. Registrerede har derfor ret til ikke at være genstand for automatiserede afgørelser i henhold til EU’s generelle forordning om databeskyttelse (GDPR).
Artikel 22 i GDPR regulerer den registreredes rettigheder vedrørende automatiserede beslutninger og profilering. Dette er en af de otte kernerettigheder, som registrerede har i henhold til GDPR.
Hvad en automatiseret beslutning betyder og almindelige eksempler på automatiserede beslutninger
En automatiseret beslutning er, når en beslutning om noget er lavet af for eksempel en algoritme, uden personlig kontakt.
Automatiserede beslutninger med eller uden profilering
Eksempel 1
En privatperson ansøger om et kreditlån fra en bank online og modtager et afslag på ansøgningen. Bankens afgørelse om afvisning er truffet automatisk ved hjælp af bankens algoritmer. Det betyder, at der er foretaget en automatiseret analyse af de oplysninger, som personen har givet i sin ansøgning. Analysen er foretaget gennem en algoritme, uden at en fysisk bankmedarbejder har været involveret i beslutningen. Afgørelsen træffes derfor automatisk og udgør dermed en automatisk afgørelse.
Eksempel 2
En registreret person ansøger om et job online via et e-rekrutteringsværktøj og modtager en automatisk negativ afgørelse. Afgørelsen er truffet efter en automatiseret vurdering af kandidatens indsendte CV via en algoritme, uden at en fysisk rekrutterer har været involveret i afgørelsen. Dette er et eksempel på en automatiseret beslutning.
Skuespillere, der ofte gør brug af automatiserede beslutninger
Nogle private og offentlige aktører kan træffe beslutninger ved hjælp af algoritmer i forbindelse med behandling af personoplysninger. Dette er almindeligt på f.eks. hospitaler, marketing, banker og skattekontorer. Det er en effektiv måde for disse aktører at træffe beslutninger på, men sådanne beslutninger kan påvirke den registrerede juridisk eller på anden måde.
Det er derfor vigtigt, at virksomheder, der træffer automatiserede beslutninger, med eller uden profilering, er gennemsigtige om dette. Den registrerede har ret til at modtage oplysninger om automatiserede beslutninger, uanset om de omfatter profilering eller ej.
Registrerede kan kræve, at de ikke gøres til genstand for en rent automatisk beslutningstagning. Dette betyder dog ikke altid, at den registrerede har ret hertil.
En virksomhed behøver ikke nødvendigvis at basere sin automatiske beslutningstagning på oplysninger fra den registrerede. Det er muligt at gøre dette gennem oplysninger indhentet af virksomheden gennem observation. For eksempel, hvis en virksomhed, der driver en mobilapplikation, indsamler og træffer beslutninger baseret på positioneringsdata.
Eksempler på, hvornår automatiserede beslutninger kan tillades
Automatiserede afgørelser kan tillades i følgende tilfælde:
Kontrakt
Hvis det er nødvendigt af hensyn til indgåelse eller opfyldelse af en kontrakt med den registrerede.
Samtykke
Hvis operatøren har indhentet udtrykkeligt, frivilligt og aktivt samtykke fra den registrerede til automatisk beslutningstagning.
Lovgivning
Hvor automatiske afgørelser udtrykkeligt er tilladt i henhold til specifik lovgivning Det kan være en national lov eller i overensstemmelse med EU-retten.
Handlinger, efter at der er truffet en automatiseret afgørelse
Når en virksomhed træffer en beslutning ved hjælp af automatiserede metoder, f.eks. ved hjælp af algoritmer, skal virksomheden oplyse, at beslutningen er automatiseret.
Derudover har den registrerede ret til:
Få den automatiserede beslutning gennemgået af et menneske, og
Indsigelse mod den automatiske afgørelse.
Betydningen af "profilering"
I nogle tilfælde kan en beslutning træffes automatisk ved hjælp af profilering. Profilering indebærer automatisk behandling af personoplysninger med det formål at vurdere den registreredes personlige karakteristika.
Databeskyttelsesforordningens artikel 4, stk. 4, regulerer definitionen af profilering. Kort sagt betyder dette, at personoplysninger anvendes til at vurdere visse af den registreredes personlige karakteristika.
For eksempel kan profilering bruges af en virksomhed i forbindelse med automatiserede beslutninger til at analysere eller forudsige arbejdspræstationer. Eller det kan bruges til at analysere eller forudsige andre parametre. For eksempel interesser, sundhed, personlige præferencer, adfærd eller pålidelighed.
Når der foretages profilering, behandles den registreredes personoplysninger. Den registrerede har derfor ret til at modtage oplysninger om behandlingen.
Hvis der træffes en automatiseret beslutning ved hjælp af profilering, gælder de samme rettigheder som for automatiserede beslutninger, der træffes uden profilering.
Retningslinjer for automatiseret individuel beslutningstagning og profilering
Hvis du vil vide mere om reglerne for automatiserede afgørelser og profilering i henhold til GDPR, kan du besøge Europa-Kommissionens websted. Derfra kan du downloade et dokument med retningslinjer for automatiseret individuel beslutningstagning og profilering:
Flere rettigheder i henhold til GDPR
Retten til at blive informeret
Retten til information betyder, at registrerede skal informeres om behandlingen af personoplysninger. For eksempel formålet med behandlingen, det retsgrundlag, som behandlingen er baseret på, hvor længe personoplysningerne vil blive behandlet og oplysninger om hans eller hendes rettigheder. Desuden skal de registrerede i visse tilfælde underrettes i tilfælde af brud på persondatasikkerheden. De har også ret til at vide, hvilke personoplysninger virksomheden behandler under behandlingen.