Artikel 22 i GDPR

Automatiserade beslut

Automatiserade beslut är beslut som endast grundas på någon form av automatiserat beslutsfattande, med eller utan profilering. Exempelvis genom algoritmer, utan inblandning av en fysisk persons bedömning. 

Automatiserade beslut med eller utan profilering

Automatiserade beslut kan påverka registrerade i betydande grad eller ha rättsliga följder. Därför har registrerade rätt att inte bli föremål för automatiserade beslut enligt EU:s dataskyddsförordning (även kallad GDPR).

Artikel 22 i GDPR reglerar den registrerades rättigheter avseende automatiserade beslut och profilering. Detta utgör en av de åtta centrala rättigheterna som registrerade har enligt GDPR. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Vad ett automatiserat beslut innebär och vanliga exempel på automatiserade beslut

Ett automatiserat beslut är när ett beslut om något fattas av exempelvis en algoritm, utan personlig kontakt. 



Automatiserade beslut med eller utan profilering

An administrative fine

Exempel 1

En privatperson ansöker om ett kreditlån hos en bank på internet och får ett avslag på ansökan. Bankens beslut om avslaget har fattats automatiskt, genom bankens algoritmer. Detta betyder att det har skett en automatisk analys av den information som personen angav i sin ansökan. Analysen har gjorts genom en algoritm, utan att en fysisk bankmedarbetare har varit delaktig i beslutet. Därför är beslutet fattat på automatiserad väg och utgör därmed ett automatiserat beslut.

Restrict or ban processing

Exempel 2

En registrerad ansöker om ett arbete online via ett e-rekryteringsverktyg och får ett automatiskt nekande besked. Beskedet har fattats efter en automatisk bedömning av kandidatens inskickade CV genom en algoritm, utan att en fysisk rekryterare har varit delaktig i beslutet. Detta utgör ett exempel på ett automatiserat beslut.

Aktörer som ofta använder sig av automatiserade beslut

Aktörer som ofta använder sig av automatiserade beslut

Vissa privata och offentliga aktörer kan fatta beslut med hjälp av algoritmer i samband med behandling av personuppgifter. Detta är vanligt förekommande inom exempelvis sjukhus, marknadsföring, banker och skattekontor. Det är ett effektivt sätt för dessa aktörer att fatta beslut på, men sådana beslut kan påverka den registrerade juridiskt eller på annat sätt.

Därför är det viktigt att företag som fattar beslut automatiserade beslut, med eller utan profilering, är transparenta om detta. Den registrerade har rätt att få information om automatiserade beslut, oavsett om de inkluderar profilering eller inte. 

Registrerade kan kräva att inte bli föremål för beslutsfattande som enbart är automatisk. Däremot innebär det inte alltid att den registrerade har rätt. 

Ett företag behöver inte nödvändigtvis grunda sitt automatiska beslutsfattande på information som den registrerade har givit. Det är möjligt att göra genom information som företaget fått genom observation. Exempelvis om ett företag som bedriver en mobilapplikation samlar in och fattar beslut utifrån positioneringsuppgifterna. 

Exempel på när det kan vara tillåtet med automatiserade beslut

Det kan vara tillåtet med automatiserade beslut i följande fall:

Avtal

Om det är nödvändigt för att ingå eller fullgöra ett avtal med den registrerade;

Samtycke

I de fall aktören har fått ett uttryckligt, frivilligt och aktivt samtycke till automatiserat beslutsfattande från den registrerade;

Lagstiftning

Om automatiserade beslut uttryckligen tillåts enligt särskild lagstiftning. Det kan vara en nationell lagstiftning eller i enlighet med unionsrätten.

Åtgärder efter att ett automatiserat beslut har fattats

När ett företaget fattar ett beslut på automatiserad väg, exempelvis med hjälp av algoritmer, måste företaget informera om att beslutet är automatiserat. Dessutom har den registrerade rätt att 

Få det automatiserade beslutet granskat av en människa, och

Bestrida det automatiserade beslutet.

Innebörden av ”profilering”

I vissa fall kan ett beslut fattas på automatiserad väg med hjälp av profilering. Profilering innebär en automatisk behandling av personuppgifter med syftet att bedöma den registrerades personliga egenskaper. 

Artikel 4(4) i GDPR reglerar definitionen av profilering. Kort sagt innebär det att personuppgifter blir använda för att bedöma vissa personliga egenskaper hos den registrerade.

Exempelvis kan profilering bli använt av ett företag i samband med automatiserade beslut för att analysera eller förutse arbetsprestationer. Eller så kan det bli använd för att analysera eller förutse andra parametrar. Exempelvis intressen, hälsa, personliga preferenser, beteende eller pålitlighet.

Vid utförande av profilering, blir en registrerads personuppgifter behandlade. Därför har den registrerade rätt att få information om behandlingen. 

Om ett automatiserat beslut fattas med hjälp av profilering gäller samma rättigheter som för automatiserade beslut fattade utan profilering. 

Riktlinjer om automatiserat individuellt beslutsfattande och profilering

Om du vill fördjupa dig mer inom reglerna för automatiserade beslut och profilering enligt GDPR, kan du besöka EU-kommissionens webbplats. Därifrån kan du ladda ner ett dokument med riktlinjer om automatiserat individuellt beslutsfattande och profilering:

Till riktlinjerna

Fler rättigheter i GDPR

Rätt till information är en annan rättighet enligt GDPR

Rättigheten rätt till information innebär att registrerade ska bli informerade om behandlingen av personuppgifter. Till exempel syftet med behandlingen, den rättsliga grunden som behandlingen stöds på, hur länge personuppgifterna ska bli behandlade och information om dennes rättigheter. Dessutom ska registrerade i vissa fall bli informerade vid personuppgiftsincidenter. De har även rätt att få veta vilka personuppgifter som företaget behandlar under behandlingen. 

Want to learn more?

Next right
Rulla till toppen