Artikkel 22 GDPR
Automatiserte avgjørelser
Automatiserte beslutninger er beslutninger som bare er basert på en eller annen form for automatisert beslutningstaking, med eller uten profilering. For eksempel gjennom algoritmer, uten involvering av en fysisk persons dømmekraft.
Automatiserte beslutninger med eller uten profilering
Automatiserte beslutninger kan i betydelig grad påvirke registrerte eller ha juridiske konsekvenser. Derfor har de registrerte rett til ikke å bli underlagt automatiserte beslutninger i henhold til EUs databeskyttelsesforordning (GDPR).
Artikkel 22 i GDPR regulerer rettighetene til den registrerte i forhold til automatiserte beslutninger og profilering. Dette er en av de åtte kjernerettighetene til registrerte under GDPR.
Hva en automatisert beslutning betyr og vanlige eksempler på automatiserte beslutninger
En automatisert beslutning er når en beslutning om noe er tatt, for eksempel av en algoritme, uten menneskelig inngripen.
Automatiserte beslutninger med eller uten profilering
Eksempel 1
En person søker om et kredittlån fra en nettbank og blir nektet. Bankens beslutning om avslaget er tatt automatisk, gjennom bankens algoritmer. Dette betyr at det har vært en automatisk analyse av informasjonen gitt av personen i hans eller hennes søknad. Analysen ble utført ved hjelp av en algoritme, uten involvering av en fysisk bankmedarbeider i beslutningen. Avgjørelsen tas derfor automatisk og utgjør dermed en automatisert beslutning.
Eksempel 2
En registrert søker på en jobb på nettet via et e-rekrutteringsverktøy og mottar et automatisk negativt svar. Meldingen ble gitt etter en automatisk vurdering av kandidatens innsendte CV ved hjelp av en algoritme, uten at noen fysisk rekrutterer hadde vært involvert i beslutningen. Dette er et eksempel på automatiserte avgjørelser.
Aktører som gjør hyppig bruk av automatiserte beslutninger
Noen private og offentlige aktører kan ta avgjørelser ved hjelp av algoritmer i forbindelse med behandling av personopplysninger. Dette er vanlig i områder som sykehus, markedsføring, banker og skattekontorer. Det er en effektiv måte for disse aktørene å ta avgjørelser på, men slike beslutninger kan påvirke den registrerte juridisk eller på annen måte.
Derfor er det viktig at selskaper som tar automatiserte beslutninger, med eller uten profilering, er åpne om dette. Den registrerte har rett til å motta informasjon om automatiserte beslutninger, enten de inkluderer profilering eller ikke.
Datasubjekter kan kreve ikke å være gjenstand for rent automatisk beslutningstaking. Dette betyr imidlertid ikke alltid at den registrerte har rett.
Et selskap trenger ikke nødvendigvis å basere sin automatiserte beslutningsprosess på informasjon gitt av den registrerte. Dette kan gjøres ved hjelp av opplysninger som foretaket har innhentet gjennom observasjon. For eksempel, hvis et selskap som driver en mobilapplikasjon samler inn og tar beslutninger basert på posisjonsdata.
Eksempler på når automatiserte avgjørelser kan tillates
Automatiserte avgjørelser kan tillates i følgende tilfeller:
Avtale
Når det er nødvendig for inngåelse eller gjennomføring av en kontrakt med den registrerte.
Samtykke
Dersom aktøren har fått uttrykkelig, frivillig og aktivt samtykke til automatisert beslutningstaking fra den registrerte.
Regelverk
Der automatiserte beslutninger er uttrykkelig autorisert av spesifikk lovgivning. Det kan være en nasjonal lovgivning eller i samsvar med unionsretten.
Handlinger etter at en automatisert beslutning er tatt
Når et foretak tar en beslutning ved hjelp av automatiserte metoder, for eksempel algoritmer, må foretaket opplyse om at beslutningen er automatisert. I tillegg har den registrerte rett til å:
Få den automatiserte avgjørelsen gjennomgått av et menneske. Og
Utfordre den automatiserte avgjørelsen.
Betydningen av «profilering»
I noen tilfeller kan en beslutning tas ved hjelp av automatiserte metoder ved hjelp av profilering. Profilering betyr automatisert behandling av personopplysninger med det formål å vurdere den registrertes personlige egenskaper.
Artikkel 4 (4) i GDPR regulerer definisjonen av profilering. Kort sagt betyr dette at personopplysninger vil bli brukt til å vurdere visse personlige egenskaper hos den registrerte.
For eksempel kan profilering brukes av et foretak i sammenheng med automatiserte beslutninger for å analysere eller forutsi arbeidsprestasjoner. Eller det kan brukes til å analysere eller forutsi andre parametere. Slik som interesser, helse, personlige preferanser, atferd eller pålitelighet.
Når profilering utføres, behandles den registrertes personopplysninger. Den registrerte har derfor rett til å bli informert om behandlingen.
Når en automatisert beslutning tas ved hjelp av profilering, gjelder de samme rettighetene som for automatiserte beslutninger som tas uten profilering.
Retningslinjer for automatisert individuell beslutningstaking og profilering
For mer detaljert informasjon om reglene for automatiserte beslutninger og profilering under GDPR, gå til Europakommisjonens nettsted. Derfra kan du laste ned et veiledningsdokument om automatiserte avgjørelser og profilering.
Flere rettigheter i GDPR
Retten til å bli informert
Retten til informasjon innebærer at de registrerte må informeres om behandlingen av personopplysninger. For eksempel formålet med behandlingen, det juridiske grunnlaget som behandlingen er basert på, varigheten av behandlingen av personopplysninger og informasjon om deres rettigheter. I tillegg må de registrerte i visse tilfeller informeres i tilfelle brudd på personopplysningssikkerheten. De har også rett til å vite hvilke personopplysninger selskapet behandler under behandlingen.