Automatiskt beslutsfattande och profilering
Vad avses med profilering?
Profilering innebär automatisk behandling av personuppgifter, där en människa personliga egenskaper bedöms.
Med profilering avses analys eller förutsägelser av särdrag som gäller i synnerhet arbetsprestationer, den ekonomiska situationen, personliga preferenser, intressen, pålitlighet, beteende, position eller rörelser.
Profilering
- är automatiskt eller delvis automatiskt
- hänför sig till personuppgifter och
- bedömer personliga egenskaper.
Generellt innebär profilering insamling av information om en enskild person eller människogrupp och bedömning av deras särdrag och beteendemodeller i syfte att placera dem i en viss kategori eller grupp. Syftet är att analysera och förutse i synnerhet till exempel människans
- förmåga att klara av en viss uppgift
- intressen
- sannolika beteende.
En enkel kategorisering av personer enligt ålder, kön och längd är inte nödvändigtvis profilering. Definitionen beror på syftet med kategoriseringen. Till exempel ett företag kan kategorisera sina kunder enligt ålder och kön för statistiska ändamål. Syftet är att få en övergripande bild av kunderna utan förutsägelser eller slutsatser om en enskild kunds särdrag. Syftet med behandlingen av uppgifter är då inte att bedöma en individs personliga egenskaper, varför det inte handlar om profilering. Om syftet är att bedöma personliga egenskaper, kan kategoriseringen definieras som profilering.
Vad innebär automatiskt beslutsfattande?
Beslutsfattande är automatiskt då
- det handlar om enbart beslutsfattande som grundar sig på automatisk behandling av personuppgifter och
- de beslut som fattas har rättsverkningar eller då besluten i väsentlig grad i övrigt påverkar den registrerade.
Sådan behandling av uppgifter innehåller profilering enligt dataskyddsförordningen i den utsträckning som den har rättsliga verkningar för den registrerade eller på motsvarande sätt i väsentlig grad påverkar den registrerade.
Beslut kan fattas automatiskt utan profilering och profilering kan göras utan automatiskt beslutsfattande. Samma behandlingsåtgärd som gäller personuppgifter kan dock omfatta såväl profilering som automatiskt beslutsfattande, beroende till exempel på hur uppgifterna används.
Också beslut som inte grundar sig enbart på automatisk behandling av personuppgifter kan innehålla profilering. En sådan situation kan vara aktuell till exempel om en bank behandlar kreditklassuppgifter om lånesökanden då den fattar lånebeslut och en fysisk person på avsevärt sätt deltar i beslutsprocessen innan det slutliga lånebeslutet ges.
Automatiskt beslutsfattande kan grunda sig på vilken information som helst. Det fattade beslutet kan grunda sig till exempel på
- information som fåtts av den registrerade själv (till exempel inhämtande av uppgifter med ett enkätformulär)
- information som samlats genom observation (till exempel inhämtande av positioneringsuppgifter med en mobilapp)
- slutsatser eller information som härletts av vissa uppgifter, till exempel en profil som redan bildats av den registrerade (till exempel kreditklassinformation).
Det handlar om enbart automatiskt beslutsfattande då en fysisk person inte deltar i beslutsfattandet.
Det handlar om enbart automatiskt beslutsfattande till exempel då en rekommendation som gäller en registrerad uppkommer som en följd av en automatiserad process. Om en människa bedömer och beaktar andra omständigheter som påverkar det slutliga beslutet, handlar det inte om enbart automatiskt beslutsfattande.
Bestämmelsen kan inte kringgås med skenbart mänskligt deltagande. Om det handlar till exempel om tillämpning av profiler som skapats rutinartat och automatiskt på personer utan faktisk möjlighet att påverka slutresultatet, grundar sig resultatet enbart på automatisk behandling.
För att en fysisk person ska anses delta i beslutsfattandet, ska han eller hon delta på ett betydelsefullt, inte enbart skenbart sätt. Personen ska kunna påverka slutresultatet av beslutet.
Rättsverkningar följer av sådant automatiskt beslutsfattande som påverkar en människas lagliga rättigheter, såsom föreningsfriheten, utövandet av rösträtt eller rätten att företa rättshandlingar. Rättsverkningar kan följa också av sådana beslut som påverkar personens juridiska ställning eller rättigheter som grundar sig på ett avtal. Sådana rättsverkningar som gäller en registrerad hänför sig till exempel till beslut som leder till
- upplösning av ett avtal
- beviljande eller nekande av en lagstadgad social förmån (till exempel bostadsbidrag eller barnbidrag)
- nekande av inträde till landet eller medborgarskap.
Trots att den vidtagna behandlingsåtgärden inte anses ha rättsverkningar, kan den på motsvarande sätt i väsentlig grad påverka den registrerade. Sådana verkningar ska vara tillräckligt betydande eller viktiga för den registrerade. Beslutet borde eventuellt orsaka
- betydande konsekvenser för förhållandena, beteendet eller valen vad gäller den person som är föremål för beslutet
- en långvarig eller bestående verkning för den registrerade
- i extremfall diskriminering eller utestängning av enskilda personer.
Till exempel automatiskt nekande av en online-kreditansökan och praxis där personer rekryteras elektroniskt utan mänskligt deltagande påverkar på motsvarande sätt i väsentlig grad den registrerade.
När är automatiskt beslutsfattande tillåtet?
En registrerad har rätt att inte var föremål för beslutsfattande som grundar sig enbart på automatisk behandling, såsom profilering, och som har rättsverkningar för honom eller honom eller som på motsvarande sätt i väsentlig grad påverkar honom eller henne. Det finns dock undantag till förbudet. Automatiskt beslutsfattande är dock tillåtet om beslutet
- är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige
- tillåts enligt unionsrätten eller en medlemsstats nationella rätt vilken tillämpas på den personuppgiftsansvarige
- grundar sig på ett uttryckligt samtycke av den registrerade.
Den personuppgiftsansvarige ska alltid i samband med en sådan behandling sörja för att åtminstone följande skyddsåtgärder vidtas:
- de registrerade underrättas om behandlingen av uppgifter
- de registrerade erbjuds enkla sätt att kräva att människor deltar i behandlingen av uppgifter, framföra sin ståndpunkt och väcka talan
- de uppgifter och algoritmer som ska behandlas granskas regelbundet, för att säkerställa att beslutsprocessen fungerar på det avsedda sättet, och inte leder till exempel till individdiskriminerande behandling av uppgifter.
Den person som behandlar ärendet ska kunna påverka slutresultatet av beslutet. All relevant information ska beaktas i bedömningen och den registrerade ska ges tillfälle att överlämna en tilläggsutredning. De registrerade har därtill rätt att få en utredning över det beslut som fattats efter bedömningen i fråga.
Information om automatiskt beslutsfattande och profilering
Den personuppgiftsansvarige ska komma ihåg informationsskyldigheten i alla behandlingsåtgärder som gäller personuppgifter. När det handlar om automatiskt beslutsfattande och profilering, ska den personuppgiftsansvarige rikta särskild uppmärksamhet mot transparensen i behandlingsåtgärderna.
De som är föremål för automatiskt beslutsfattande ska underrättas om
- det automatiska beslutsfattandet, inklusive profilering
- betydelsefulla uppgifter som gäller logiken i behandlingen
- behandlingens betydelse och eventuella konsekvenser för den registrerade.
Den personuppgiftsansvarige borde på ett tydligt och enkelt sätt ge de registrerade information om förfaringsprinciperna för det automatiska beslutsfattandet och de omständigheter som getts vikt i beslutsfattandet. Den utlämnade informationen borde vara betydelsefull för den registrerade. En uttömmande och komplex beskrivning av en algoritm som använts i beslutsfattandet är inte nödvändigtvis ett lämpligt sätt att ge information om den använda logiken.
Till exempel då kreditklassuppgifter behandlas för att fatta ett lånebeslut, kan den registrerade underrättas om
- varför automatiskt beslutsfattande används (till exempel ansvarsfullheten i lånebeslut)
- de omständigheter som betonas i beslutsprocessen och olika omständigheters vikt i beslutsfattandet
- informationens ursprung (till exempel uppgifter som getts av en registrerad, en registrerads tidigare betalningsbeteende eller offentliga register)
- information om att kategoriseringsmetoderna utreds regelbundet i syfte att säkerställa att metoderna är rättvisa, effektiva och jämbördiga
- kontaktuppgifter för begäran om omprövning av ett beslut.
De registrerade borde också ges följande uppgifter om behandlingens betydelse och eventuella konsekvenser:
- information om planerad eller framtida behandling
- information om potentiella konsekvenser av automatiskt beslutsfattande och profilering för en registrerad
- exempel på potentiella konsekvenser för att säkerställa informationens betydelse och begriplighet.
Vad ska beaktas i marknadsföring som enbart grundar sig på automatisk behandling av uppgifter?
Marknadsföring grundar sig i allt högre grad på automatiserade verktyg och den innehåller ofta enbart automatiserad behandling av personuppgifter. Om marknadsföringen grundar sig enbart på automatiserad behandling av personuppgifter, ska den personuppgiftsansvarige bedöma om regleringen om automatiskt beslutsfattande är tillämplig på den egna verksamheten.
I allmänhet har inte marknadsföring som grundar sig på riktad profilering betydande verkningar som motsvarar rättsverkningar för enskilda personer. I så fall definieras inte marknadsföring som automatiskt beslutsfattande. Ett exempel på detta är marknadsföring som idkas av en nätbutik, vilken grundar sig på en enkel demografisk profil: Kvinnor i åldern 25‒35-år som bor i Norra Österbotten, vilka sannolikt är intresserade av mode och vissa former av kläder.
Det är dock möjligt att marknadsföring som grundar sig på riktad profilering har motsvarande betydande verkningar för enskilda personer. Detta beror till exempel på:
- profileringsförfarandet inskränkande karaktär, såsom sättet att följa individer via olika webbplatser, apparater och tjänster
- förväntningarna och önskemålen hos marknadsföringsobjektet
- marknadsföringskanalen
- marknadsföringsobjektens sårbarhet.
Sådana marknadsföring som vanligen påverkar marknadsföringsobjekt enbart i liten grad, kan i väsentlig grad påverka vissa kategorier av personer, såsom minoritetsgrupper och personer i sårbar ställning. Till exempel regelbunden riktad marknadsföring av lån med hög ränta till personer som enligt kännedom eller sannolikt befinner sig i ekonomiskt trångmål, kan leda till ytterligare skuldsättning för en sådan person.
Särskild vikt ska fästas också vid marknadsföring som är riktad till barn. Enligt dataskyddsförordningen ska man i synnerhet försöka skydda personuppgifter som gäller barn, i synnerhet om det handlar om
- användning av personuppgifter om barn för marknadsföringsändamål
- skapande av person- eller användarprofiler
- insamling av personuppgifter då ett barn använder tjänster som är avsedda för honom eller henne.
Vad ska den som utför automatiskt beslutsfattande och profilering beakta?
Beakta principerna för behandling av personuppgifter i all behandling av personuppgifter.
Automatiskt beslutsfattande och profilering kan grunda sig på ett uttryckligt samtycke av en registrerad. Se till att ett samtycke som begärts av den registrerade uppfyller de förutsättningar som ställts på ett uttryckligt samtycke.
Bedöm om automatiskt beslutsfattande är nödvändigt eller om det med en metod som i lägre grad ingriper i integriteten är möjligt att uppnå samma slutresultat. Automatiskt beslutsfattande ska vara nödvändigt. Om en annan effektiv metod som ingriper i integriteten i lägre grad är möjlig, kan det inte anses att automatiskt beslutsfattande är nödvändigt.
Säkerställ att behandling av särskilda kategorier av personuppgifter, till exempel hälsouppgifter, är tillåten. Behandling av uppgifter som hör till kategorier av särskilda personuppgifter är i princip förbjuden också då uppgifter som hör till särskilda kategorier av personuppgifter bildas i samband med profilering.
Genom att granska till exempel inköpshistoriken är det möjligt att dra slutsatser om en persons hälsotillstånd. I så fall kan profileringen generera uppgifter som hör till särskilda kategorier av personuppgifter, trots att de ursprungliga inköpshistorikuppgifter inte hör till särskilda kategorier av personuppgifter. Den personuppgiftsansvarige ska i en sådan situation se till att den har en ändamålsenlig grund för behandling av särskilda kategorier av personuppgifter.
Behandling av särskilda kategorier av personuppgifter inom ramen för automatiskt beslutsfattande är ännu mer begränsat. Behandling av särskilda kategorier av personuppgifter i samband med automatiskt beslutsfattande är tillåten enbart då
- automatiskt beslutsfattande är tillåtet och
- behandlingen av personuppgifter grundar sig på ett uttryckligt samtycke eller är nödvändig utifrån ett viktigt allmänt intresse utifrån unionsrätten eller lagstiftningen i en medlemsstat.
Kom ihåg att en registrerad i princip har rätt till tillgång till egna uppgifter. De registrerade har rätt att få uppgifter också om personuppgifter som använts för profilering och de kategorier av uppgifter som använts för att bilda en profil. Därtill har de registrerade rätt att få information om de uppgifter som använts för att skapa en profil, information om profilen och om i vilket segment den registrerade placerats.
När en registrerad är föremål för automatiskt beslutsfattande, har han eller hon därtill rätt till följande uppgifter, vilka den personuppgiftsansvarige ska lämna ut till den registrerade redan utifrån informationsskyldigheten:
- information om det automatiska beslutsfattandet, inklusive profilering
- betydelsefulla uppgifter som gäller logiken i behandlingen
- uppgifter om behandlingens betydelse och eventuell följder för den registrerade.
Beakta att rätten att rätta och avlägsna uppgifter gäller källuppgifter, utifrån vilka en profil är skapad, själva profilen eller den poängsättning som använts på en registrerad.
Observera att en registrerad i vissa situationer utifrån en individuell särskild grund som relaterar till den egna situationen kan ha rätt att när som helst göra en invändning mot behandling av uppgifter som rör honom eller henne. Den registrerade ska informeras om möjligheten att utöva rätten att göra en invändning.
Beakta barnets särskilda ställning. Dataskyddsförordningen innehåller inte särskilda föreskrifter om automatiskt beslutsfattande och profilering vad gäller barn. I introduktionsdelen i förordningen nämns det dock att ett beslut som har rättsverkningar eller motsvarande betydande verkningar och som enbart grundar sig på automatiskt behandling av uppgifter inte får riktas mot ett barn. Det kan dock vara motiverat att rikta automatiskt beslutsfattande och profilering mot barn till exempel för att trygga barnets välbefinnande. I så fall ska du säkerställa att lämpliga skyddsåtgärder vidtas.
Gör en konsekvensbedömning av dataskyddet i synnerhet i fall där
- människors personliga egenskaper bedöms systematiskt och på omfattande sätt
- bedömningen grundar sig på automatisk behandling såsom profilering och
- Bedömningen leder till beslut med rättsverkningar för en fysisk person eller som på motsvarande sätt i väsentlig grad påverkar en fysisk person.