Automatiserte avgjørelser og profilering

Med automatiserte avgjørelser menes avgjørelser som foretas av dataprogrammer uten menneskelig innblanding eller påvirkning. Når slike avgjørelser har juridisk eller tilsvarende vesentlig betydning for den enkelte, setter forordningen strenge grenser. Hovedregelen er at slike avgjørelser er forbudt.

Et eksempel på denne typen behandling av personopplysninger er når virksomheter lar en algoritme bestemme om en person skal få lån basert på en profil. Automatiserte avgjørelser kan ofte basere seg på profiler, men de behøver ikke å gjøre det.

Automatiserte avgjørelser er kun tillatt dersom de:

• er nødvendige for å inngå eller gjennomføre en avtale med de registrerte,
• er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte,
• er basert på eksplisitt og gyldig samtykke.

I det første og siste tilfellet må den behandlingsansvarlige også implementere tiltak som varetar den enkeltes rettigheter på en tilstrekkelig måte. I det minste må den enkelte ha en mulighet til å få avgjørelsen overprøvd av en fysisk person og muligheten til å bestride avgjørelsen. I tillegg sier fortalen til forordningen (punkt 71) at den enkelte bør få en forklaring av beslutningen og at slike avgjørelser ikke bør omhandle barn. Andre relevante tiltak kan være:

  • Tekniske og organisatoriske tiltak for å oppdage uriktige personopplysninger og for å sørge for at personopplysningene er oppdaterte
  • Test av systemene og gjennomgang av algoritmene for å påse at behandlingen er rettferdig og ikke diskriminerende

Systemene som brukes må selvsagt følge regelen om plikt til innebygd personvern.

Automatiserte avgjørelser som bygger på sensitive personopplysninger, er kun lov med eksplisitt og gyldig samtykke eller dersom behandlingen har vesentlig offentlig interesse og har hjemmel i lov. Også her må det foreligge tiltak for å vareta den enkeltes rettigheter. De nærmere reglene om automatiserte avgjørelser finnes i forordningen artikkel 22.