Automatiskt beslutsfattande och profilering

Vad avses med profilering?

Profilering innebär automatisk behandling av personuppgifter, där en människa personliga egenskaper bedöms.

Med profilering avses analys eller förutsägelser av särdrag som gäller i synnerhet arbetsprestationer, den ekonomiska situationen, personliga preferenser, intressen, pålitlighet, beteende, position eller rörelser.

Profilering

  • är automatiskt eller delvis automatiskt
  • hänför sig till personuppgifter och
  • bedömer personliga egenskaper.

Vad innebär automatiskt beslutsfattande?

Beslutsfattande är automatiskt då

  • det handlar om enbart beslutsfattande som grundar sig på automatisk behandling av personuppgifter och
  • de beslut som fattas har rättsverkningar eller då besluten i väsentlig grad i övrigt påverkar den registrerade.

Sådan behandling av uppgifter innehåller profilering enligt dataskyddsförordningen i den utsträckning som den har rättsliga verkningar för den registrerade eller på motsvarande sätt i väsentlig grad påverkar den registrerade.

Beslut kan fattas automatiskt utan profilering och profilering kan göras utan automatiskt beslutsfattande. Samma behandlingsåtgärd som gäller personuppgifter kan dock omfatta såväl profilering som automatiskt beslutsfattande, beroende till exempel på hur uppgifterna används.

Också beslut som inte grundar sig enbart på automatisk behandling av personuppgifter kan innehålla profilering. En sådan situation kan vara aktuell till exempel om en bank behandlar kreditklassuppgifter om lånesökanden då den fattar lånebeslut och en fysisk person på avsevärt sätt deltar i beslutsprocessen innan det slutliga lånebeslutet ges.

Automatiskt beslutsfattande kan grunda sig på vilken information som helst. Det fattade beslutet kan grunda sig till exempel på

  • information som fåtts av den registrerade själv (till exempel inhämtande av uppgifter med ett enkätformulär)
  • information som samlats genom observation (till exempel inhämtande av positioneringsuppgifter med en mobilapp)
  • slutsatser eller information som härletts av vissa uppgifter, till exempel en profil som redan bildats av den registrerade (till exempel kreditklassinformation).

När är automatiskt beslutsfattande tillåtet?

En registrerad har rätt att inte var föremål för beslutsfattande som grundar sig enbart på automatisk behandling, såsom profilering, och som har rättsverkningar för honom eller honom eller som på motsvarande sätt i väsentlig grad påverkar honom eller henne. Det finns dock undantag till förbudet. Automatiskt beslutsfattande är dock tillåtet om beslutet

  • är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige
  • tillåts enligt unionsrätten eller en medlemsstats nationella rätt vilken tillämpas på den personuppgiftsansvarige
  • grundar sig på ett uttryckligt samtycke av den registrerade.

Den personuppgiftsansvarige ska alltid i samband med en sådan behandling sörja för att åtminstone följande skyddsåtgärder vidtas:

  • de registrerade underrättas om behandlingen av uppgifter
  • de registrerade erbjuds enkla sätt att kräva att människor deltar i behandlingen av uppgifter, framföra sin ståndpunkt och väcka talan
  • de uppgifter och algoritmer som ska behandlas granskas regelbundet, för att säkerställa att beslutsprocessen fungerar på det avsedda sättet, och inte leder till exempel till individdiskriminerande behandling av uppgifter.

Den person som behandlar ärendet ska kunna påverka slutresultatet av beslutet. All relevant information ska beaktas i bedömningen och den registrerade ska ges tillfälle att överlämna en tilläggsutredning. De registrerade har därtill rätt att få en utredning över det beslut som fattats efter bedömningen i fråga.

Information om automatiskt beslutsfattande och profilering

Den personuppgiftsansvarige ska komma ihåg informationsskyldigheten i alla behandlingsåtgärder som gäller personuppgifter. När det handlar om automatiskt beslutsfattande och profilering, ska den personuppgiftsansvarige rikta särskild uppmärksamhet mot transparensen i behandlingsåtgärderna.

De som är föremål för automatiskt beslutsfattande ska underrättas om

  • det automatiska beslutsfattandet, inklusive profilering
  • betydelsefulla uppgifter som gäller logiken i behandlingen
  • behandlingens betydelse och eventuella konsekvenser för den registrerade.

Den personuppgiftsansvarige borde på ett tydligt och enkelt sätt ge de registrerade information om förfaringsprinciperna för det automatiska beslutsfattandet och de omständigheter som getts vikt i beslutsfattandet. Den utlämnade informationen borde vara betydelsefull för den registrerade. En uttömmande och komplex beskrivning av en algoritm som använts i beslutsfattandet är inte nödvändigtvis ett lämpligt sätt att ge information om den använda logiken.

Till exempel då kreditklassuppgifter behandlas för att fatta ett lånebeslut, kan den registrerade underrättas om

  • varför automatiskt beslutsfattande används (till exempel ansvarsfullheten i lånebeslut)
  • de omständigheter som betonas i beslutsprocessen och olika omständigheters vikt i beslutsfattandet
  • informationens ursprung (till exempel uppgifter som getts av en registrerad, en registrerads tidigare betalningsbeteende eller offentliga register)
  • information om att kategoriseringsmetoderna utreds regelbundet i syfte att säkerställa att metoderna är rättvisa, effektiva och jämbördiga
  • kontaktuppgifter för begäran om omprövning av ett beslut.

De registrerade borde också ges följande uppgifter om behandlingens betydelse och eventuella konsekvenser:

  • information om planerad eller framtida behandling
  • information om potentiella konsekvenser av automatiskt beslutsfattande och profilering för en registrerad
  • exempel på potentiella konsekvenser för att säkerställa informationens betydelse och begriplighet.

Vad ska beaktas i marknadsföring som enbart grundar sig på automatisk behandling av uppgifter?

Marknadsföring grundar sig i allt högre grad på automatiserade verktyg och den innehåller ofta enbart automatiserad behandling av personuppgifter. Om marknadsföringen grundar sig enbart på automatiserad behandling av personuppgifter, ska den personuppgiftsansvarige bedöma om regleringen om automatiskt beslutsfattande är tillämplig på den egna verksamheten.

I allmänhet har inte marknadsföring som grundar sig på riktad profilering betydande verkningar som motsvarar rättsverkningar för enskilda personer. I så fall definieras inte marknadsföring som automatiskt beslutsfattande. Ett exempel på detta är marknadsföring som idkas av en nätbutik, vilken grundar sig på en enkel demografisk profil: Kvinnor i åldern 25‒35-år som bor i Norra Österbotten, vilka sannolikt är intresserade av mode och vissa former av kläder.

Det är dock möjligt att marknadsföring som grundar sig på riktad profilering har motsvarande betydande verkningar för enskilda personer. Detta beror till exempel på:

  • profileringsförfarandet inskränkande karaktär, såsom sättet att följa individer via olika webbplatser, apparater och tjänster
  • förväntningarna och önskemålen hos marknadsföringsobjektet
  • marknadsföringskanalen
  • marknadsföringsobjektens sårbarhet.

Sådana marknadsföring som vanligen påverkar marknadsföringsobjekt enbart i liten grad, kan i väsentlig grad påverka vissa kategorier av personer, såsom minoritetsgrupper och personer i sårbar ställning. Till exempel regelbunden riktad marknadsföring av lån med hög ränta till personer som enligt kännedom eller sannolikt befinner sig i ekonomiskt trångmål, kan leda till ytterligare skuldsättning för en sådan person.

Särskild vikt ska fästas också vid marknadsföring som är riktad till barn. Enligt dataskyddsförordningen ska man i synnerhet försöka skydda personuppgifter som gäller barn, i synnerhet om det handlar om

  • användning av personuppgifter om barn för marknadsföringsändamål
  • skapande av person- eller användarprofiler
  • insamling av personuppgifter då ett barn använder tjänster som är avsedda för honom eller henne.

Vad ska den som utför automatiskt beslutsfattande och profilering beakta?

Läs mer:

Dataskyddsförordningen: artiklarna 4 (punkt 4), 9, 12, 13, 14, 15, 21, 22, 35 (punkterna 1 och 3)
Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679