Kan jeg blive underlagt automatiske individuelle afgørelser, herunder på baggrund af automatisk udarbejdede personprofiler?

Svar

Der anvendes personprofiler, når dine personlige forhold evalueres med henblik på forudsigelser om dig, også selv om der ikke afgøres noget. Når en virksomhed eller organisation for eksempel vurderer aspekter omkring dig (såsom din alder, dit køn eller din højde) eller anbringer dig i en kategori, anvender de personprofiler.

Afgørelser er baseret på automatisk behandling alene, når afgørelser træffes med teknologiske midler og uden menneskelig indblanding. — De kan træffes uden brug af personprofiler.

Databeskyttelsesloven fastlægger, at du har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, hvis beslutningen har retsvirkning eller på tilsvarende måde påvirker dig betydeligt. En afgørelse har retsvirkning, når den påvirker dine juridiske rettigheder (som for eksempel din stemmeret). Desuden kan behandling af personoplysninger påvirke dig betydeligt, hvis det har indflydelse på dine forhold, din adfærd eller dine valg. For eksempel kan automatisk behandling af personoplysninger føre til, at din onlineansøgning om kredit afvises.

Opstilling af personprofiler og automatiske afgørelser er almindeligt brugt i forskellige sektorer, såsom bankvæsenet, skattevæsenet og sundhedsvæsenet. Det kan være mere effektivt, men kan også være mindre gennemsigtigt og kan begrænse dine valgmuligheder.

Som hovedregel må du ikke være genstand for en afgørelse, som udelukkende er baseret på automatisk behandling, men denne form for afgørelser kan i særlige tilfælde tillades, hvis brug af algoritmer er tilladt ved lov og indeholder passende sikkerhedsforanstaltninger.

Afgørelser, der alene er baseret på automatisk behandling, er også tilladt i disse to tilfælde:

• Afgørelsen er nødvendig (dvs. der må ikke være en anden måde at opnå det samme mål) for at opfylde eller indgå en kontrakt med dig.
• Du har givet udtrykkeligt samtykke.

I begge tilfælde skal den afgørelse, der træffes, beskytte dine rettigheder og frihedsrettigheder ved at anvende passende sikkerhedsforanstaltninger. Virksomheden eller organisationen skal som minimum informere dig om din ret til menneskelig indblanding og træffe de nødvendige proceduremæssige foranstaltninger. Desuden skal virksomheden eller organisationen give dig mulighed for at fremsætte dine synspunkter og informere dig om, at du kan bestride afgørelsen.

Algoritmebaserede afgørelser må ikke anvende bestemte kategorier af oplysninger, medmindre du har givet samtykke, eller behandlingen er tilladt i henhold til EU-lov eller national lov (se ovenfor).

Eksempel

Du bruger en onlinebank til at optage et lån. Du bliver bedt om at indtaste dine oplysninger, og bankens algoritme fortæller dig så, om banken vil tilbyde dig lånet eller ej, og angiver den foreslåede rentesats. Du skal informeres om, at du kan fremkomme med dine synspunkter, bestride afgørelsen og bede om, at en person gennemgår den afgørelse, der er truffet via algoritmen.

Referencer

• Artikel 21, 22; betragtning 71, 72
• Det Europæiske Databeskyttelsesråds retningslinjer om automatiske afgørelser og profilering i forbindelse med formålene i forordning 2016/679

You use an online bank for a loan. You are asked to insert your data and the bank’s algorithm tells you whether the bank will grant you the loan or not and gives the suggested interest rate. You must be informed that you may express your opinion, contest the decision and demand that the decision made via the algorithm be reviewed by a person.

• Articles 21 and 22 and Recitals (71) and (72) of the GDPR
• EDPB Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation (EU) 2016/679