En av de rättigheter som GDPR ger enskilda personer är rättigheten att inte behöva bli föremål för ett automatiserat beslutsfattande under vissa förutsättningar. Många organisationer tänker inte på att regleringen kring automatiserat beslutsfattande, inbegripet profilering, kan påverka dem. Det är dock ett aktuellt område, som kommer vara föremål för särskild tillsyn av Integritetsskyddsmyndigheten under 2019 och 2020. Läs detta blogginlägg för att förstå varför det berör fler verksamheter än vad man tror!
Vad är automatiserat beslutsfattande och profilering?
Automatiserat beslutsfattande innebär att det inte finns en fysisk person i ett beslutsled utan beslutet fattas enbart på teknisk väg.
Profilering innebär automatisk behandling av personuppgifter, då personuppgifterna används för att bedöma personliga egenskaper. Framförallt gäller detta exempelvis när personuppgifterna används för att analysera en persons arbetsprestationer eller hälsa. Av definitionen av profilering framgår tre rekvisit för att det ska röra sig om profilering:
1) Det ska vara automatiserad behandling
2) av personuppgifter,
3) där syftet är att bedöma personliga egenskaper hos den fysiska personen.
När har en enskild rätt att inte bli föremål för automatiserat beslutsfattande? Den enskilde har rätt att inte bli föremål för automatiserat beslutsfattande om beslutet i fråga kan ha rättsliga följder för den enskilde eller i betydande grad påverka den enskilde. Huvudregeln är därför att en enskild har rätt att inte bli föremål för automatiserat beslutsfattande eller profilering, när ett beslut har rättsliga följder för eller på liknande sätt i betydande grad påverkar den registrerade. Läs gärna våra blogginlägg om några av de övriga rättigheterna här.
Automatiserat beslutsfattande är vanligare inom bank- och finanssektorn, försäkringsbranschen och marknadsföringsbranschen, men berör ofta majoriteten av de verksamheter som finns. Automatiserat beslutsfattande används ofta vid kreditansökan. Många företag använder sig även av någon form av automatiserat beslutsfattande i sina rekryteringsprocesser, vilket är en av anledningarna till att många berörs av de särskilda regler som GDPR ställer upp för automatiserat beslutsfattande.
Tillåtet automatiserat beslutsfattande
Automatiserat beslutsfattande kan dock vara tillåtet under tre förutsättningar. Det finns med andra ord tre undantag till huvudregeln att automatiserat beslutsfattande inte är tillåtet när beslutet har rättsliga följder för den enskilde eller i betydande grad påverkar den enskilde.
Det första undantaget är om det är nödvändigt för en avtalsrelation mellan den registrerade och den personuppgiftsansvarige. Det andra undantaget är om den registrerade samtyckt till automatiserat beslutsfattande. Det tredje undantaget är om det är föreskrivet i unionsrätten eller nationell rätt att automatiserat beslutsfattande är godkänt.
Är automatiserat beslutsfattande tillåtet när det rör uppgifter om barn?
Uppgifter om barn är inga känsliga uppgifter, men likväl kan de vara extra skyddsvärda. Läs mer om barns personuppgifter här. I skälen till GDPR anges att automatiserade beslut inte får fattas i förhållande till barn, om beslutet har rättsliga följder eller på liknande sätt har betydelse för barn. EDPB (European Data Protection Board) anser inte att detta utesluter all tillämpning av automatiserade beslut, inbegripet profilering, i förhållande till barn. EDPB rekommenderar dock att personuppgiftsansvariga inte tillämpar undantagen som gör personuppgiftsbehandling vid automatiserat beslutsfattande tillåtet i förhållande till barns personuppgifter.
Använder ni er av automatiserat beslutsfattande?
Har ni några frågor kring automatiserat beslutsfattande eller några andra GDPR-relaterade frågor är ni mer än välkomna att höra av er till oss på GDPR Hero, antingen på mejlen info@gdprhero.se eller via telefon 046 – 273 17 17.