Page contents Page contents Svar Ja, enskilda personer bör inte utsättas för ett beslut som enbart är grundat på automatiserad behandling (såsom algoritmer) och som är rättsligt bindande eller avsevärt påverkar dem. Ett beslut kan anses ge upphov till rättsliga följder när den enskilda personens juridiska rättigheter eller juridiska status påverkas (exempelvis personens rösträtt). Dessutom kan behandling avsevärt påverka en enskild person om den berör vederbörandes personliga omständigheter, beteende eller val (exempelvis kan en automatiserad behandling leda till avslag på en kreditansökan online). Automatiserad behandling för beslutsfattande är endast tillåten i följande fall: när beslutet grundat på algoritmen är nödvändigt (d.v.s. det finns inget annat sätt att uppnå samma mål) för att ingå eller fullgöra ett avtal med den enskilda personen vars uppgifter ert företag/er organisation behandlade via algoritmen (t.ex. en låneansökan online), när viss EU-lagstiftning eller nationell lagstiftning tillåter användning av algoritmer och erbjuder lämpliga skyddsåtgärder för att skydda den enskilda personens rättigheter, friheter och berättigade intressen (t.ex. regler mot skatteflykt), när den enskilda personen har gett sitt uttryckliga samtycke till ett beslut grundat på algoritmen. Det beslut som fattas måste dock skydda den enskilda personens rättigheter, friheter och berättigade intressen, genom att lämpliga skyddsåtgärder införs. Bortsett från de fall då det automatiserade beslutsfattandet grundar sig på lagstiftning måste den enskilda personen åtminstone informeras om i) logiken som ligger bakom beslutsfattandeprocessen, ii) personens rätt till personlig kontakt, iii) de möjliga konsekvenserna av behandlingen och iv) personens rätt att bestrida beslutet. Ert företag/er organisation måste därför införa de rättssäkerhetsarrangemang som behövs för att den enskilda personen ska kunna uttrycka sin uppfattning och bestrida beslutet. Slutligen ska särskild försiktighet iakttas om algoritmen använder särskilda kategorier av personuppgifter: automatiserat beslutsfattande är bara tillåtet i följande fall: när den enskilda personen har gett sitt uttryckliga samtycke, eller när behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse enligt EU lagstiftningen eller nationell lagstiftning. Om den enskilda personen är ett barn ska beslut som helt och hållet grundar sig på automatiserad behandling och som ger upphov till rättsliga följder eller följder av motsvarande betydelse för barnet dessutom undvikas , eftersom barn utgör en mer sårbar grupp i samhället. Exempel Ert företag/er organisation är en onlinebank som erbjuder lån. Kunder för in sina uppgifter och en algoritm tar fram resultat som anger om kunden ska erbjudas ett lån eller inte och den föreslagna räntesatsen. Ert företag/er organisation måste gå igenom nämnda beslut innan ni kommunicerar med den blivande kunden och informera honom eller henne om att han eller hon kan uttrycka sin åsikt och i slutändan bestrida ert beslut, eftersom enskilda personer har rätt att inte underställas ett beslut grundat på algoritmer. Referenser Artikel 4.4, 22; skäl 71, 72 Europeiska dataskyddsstyrelsens riktlinjer för automatiserat individuellt beslutsfattande och profilering med avseende på förordning 2016/679 Example Your company/organisation is an online bank offering loans. Clients insert their data and an algorithm produces results on whether they should be offered a loan or not and the suggested interest rate. Your company/organisation needs to review the said decision before communicating to the prospective client and inform him that he may express his opinion and eventually contest the decision, keeping in mind that the individual has the right not to be subject to a decision based on algorithms. References Article 4(4) and Article 22 and Recitals (71) and (72) of the GDPR EDPB Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation (EU) 2016/679
