Nyheder

Vejledningen om automatiske afgørelser og profilering gennemgår de bestemmelser i databeskyttelsesforordningen, som omhandler afgørelser som f.eks. myndighedsafgørelser eller afslag på eller godkendelse af låneansøgninger uden menneskelig indblanding på beslutningstagerens side.

Ny vejledning om automatiske afgørelser og beslutninger

Af Kirsten Petersen


Databeskyttelsesforordningen, som finder anvendelse fra 25. maj 2018, indeholder en række bestemmelser, som berører automatiske afgørelser og profilering, og hvor den væsentligste regel er artikel 22.

Den registrerede har efter artikel 22, stk. 1, ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

En afgørelse vil først og fremmest være omfattet af bestemmelsen, hvis der er tale om en afgørelse, som har retsvirkning, såsom en myndighedsafgørelse. Derudover vil en afgørelse, som på tilsvarende vis betydeligt påvirker den pågældende ifølge vejledningen foreligge, hvis afgørelsen har potentialet til betydeligt at påvirke omstændigheder, adfærd eller valg foretaget af den person, som afgørelsen vedrører. Et typeeksempel på en afgørelse, som vil være omfattet, er en beslutning om godkendelse eller afslag på et lån.

Bestemmelsens indhold

Bestemmelsen indeholder ifølge vejledningen tre momenter:

  1. Et generelt forbud mod automatiske afgørelser, som alene er baseret på automatisk behandling af personoplysninger, herunder profilering.

  2. Undtagelser til det nævnte forbud.

  3. Krav om at den dataansvarlige skal gennemføre passende foranstaltninger til at beskytte den registreredes rettigheder, frihedsrettigheder samt legitime interesser. Hertil den registreredes ret til menneskelig indgriben fra den dataansvarliges side til at fremkomme med sine synspunkter og til at bestride afgørelsen.

Forbuddet i artikel 22, stk. 1, er ifølge art. 29-gruppens vejledning begrænset til at gælde for ”decisions ’based solely’ on automated processing”, dvs. for beslutninger, hvor der ikke er en menneskelig indgriben.

En menneskelig indgriben må ifølge art. 29-gruppens vejledning tilrettelægges på en sådan måde, at den gennemføres af en person, som har kompetence og mulighed for at ændre beslutningen, ligesom personen skal have adgang til alle tilgængelige oplysninger af betydning for afgørelsen.

I dette tilfælde vil artikel 22, stk. 1, ikke finde anvendelse.

Undtagelser

Der er i artikel 22, stk. 2, en række undtagelser til den generelle forbud i artikel 22, stk. 1. Undtagelserne gælder, hvis:

  1. Den automatiske afgørelse er nødvendig for indgåelse eller opfyldelse af en kontrakt med den registrerede.

  2. Den automatiske afgørelse har hjemmel i lov eller bekendtgørelse, som den dataansvarlige er underlagt.

  3. Den registrerede har givet udtrykkeligt samtykke.

Hvis en af de nævnte undtagelser finder anvendelse, kan den dataansvarlige træffe fuldt automatiske afgørelser. Den dataansvarlige skal dog under alle omstændigheder træffe passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

Justitsministeriets fortolkning

Det er væsentligt at være opmærksom på, at Justitsministeriet har fortolket artikel 22 på en sådan måde, at bestemmelsen ikke indeholder et generelt forbud, men derimod alene fastsætter en ret for den registrerede til at gøre indsigelse mod automatiske afgørelser med den konsekvens, at afgørelsen skal træffes af et menneske.

Vi træffer fuldt automatiske afgørelser – Hvad nu?

Vejledningen foreligger endnu kun i udkastform. Det er dog forventningen, at den ikke vil ændre sig væsentligt efter afslutning af høringsfasen. Dog bør man– særligt i lyset af tidligere udmeldinger fra Justitministeriet – først og fremmest afvente den endelige vejledning fra art. 29-gruppen og evt. en udmelding fra Datatilsynet og/eller Justitsministeriet.

Offentlige myndigheder og private virksomheder, som træffer automatiske afgørelser eller beslutninger vil, f.eks. i forbindelse med design af it-systemer, efter databeskyttelsesforordningens artikel 22 fremadrettet være nødt til at sikre sig, at en af de i artikel 22, stk. 2, nævnte undtagelser kan finde anvendelse.

For offentlige myndigheder vil dette typisk betyde, at myndigheden skal sikre sig, at der er den fornødne lovhjemmel.

For private virksomheder vil artikel 22, stk. 1 og 2, betyde, at virksomheden bør sikre sig, at der er indhentet det fornødne samtykke fra de registrerede personer, som beslutningen vedrører, eller at behandlingen er nødvendig for at indgå eller opfylde en kontrakt med den registrerede. Sidstnævnte kan især tænkes at være relevant ved brug af automatiske beslutninger i forbindelse med afslag på eller godkendelse af låneansøgninger.