Eit dataprogram kan ikkje utan vidare ta store og viktige avgjerder om deg. Det slår personvernforordninga fast i artikkel 22.
Rettar ved automatiserte avgjerder
Personvernforordninga forbyr automatiserte individuelle avgjerder som både
- er heilautomatiske, det vil seie at eit dataprogram tek avgjerdene utan at eit menneske har reell innverknad på dei
- har rettsverknad for deg eller i tilsvarande grad har innverknad på deg
Det er dermed berre store og viktige avgjerder som blir ramma av forbodet.
Det gjeld fleire unnatak frå forbodet, men i så fall har du òg særskilde rettar. Du kan mellom anna krevje at eit menneske ser på avgjerda (sjå under).
Døme på automatiske avgjerder
- Dataprogrammet til offentlege styresmakter avgjer om du skal få ei trygdeyting.
- I passkontrollen får du melding om at dataprogrammet synest du utgjer ein stor risiko for rikets tryggleik, og derfor blir du nekta åtgang til landet.
- Når du søkjer om banklån på nett, avgjer nettstaden lånesøknaden din der og då.
Persontilpassa marknadsføring, som inneber ei heilautomatisk avgjerd om å vise deg ein viss reklame, vil normalt ikkje vere ei automatisk avgjerd. Årsaka er at slike avgjerder normalt ikkje har stor nok innverknad på deg. Det finst likevel nokre døme der marknadsføringa kan ha så stor innverknad på den einskilde at ho vil reknast som ei automatisert individuell avgjerd likevel, til dømes:
- Reklamen speler på veikskap hos den einskilde. Eit typisk døme er viss speleavhengige med vilje får reklame for spel.
- Reklamen er med vilje retta mot sårbare personar.
Dataprogram som set individuelle prisar på grunnlag av personlege eigenskapar, kan òg vere automatiserte individuelle avgjerder, til dømes der prisen blir sett så høgt at nokon ikkje har råd til produktet.
Unnatak
Forbodet gjeld ikkje viss
- ei automatisert individuell avgjerd er naudsynt for å inngå eller gjennomføre ei avtale
- det finst lovheimel for å ta automatiserte individuelle avgjerder, og den aktuelle lova sikrar rettane og interessene til den einskilde på ein fullnøyande måte
- du har gjeve eksplisitt samtykke til at avgjerda blir teke heilautomatisert
Det er endå snevrare høve til å basere avgjerda på særlege kategoriar av personopplysningar.
Rettane dine ved automatiske avgjerder
I tilfelle 1 og 3 skal verksemda ha særlege tiltak for å trygge rettane og interessene dine. I alle fall har du rett til
- å seie di meining
- å seie i mot avgjerda
- å krevje at eit menneske går gjennom avgjerda
Verksemda skal gje deg informasjon om at ho tek automatiske individuelle avgjerder, kva for logikk som ligg bak og kva for følgjer det kan ha for deg. Du kan òg be om ein overordna forklaring av avgjerda som er teken om deg.
Meir informasjon om pliktene til verksemder
Viss ei verksemd skal ta automatiserte individuelle avgjerder, må ho ikkje gløyme personvernprinsippa eller innbygd personvern. Relevante tiltak kan til dømes vere
- tekniske og organisatoriske tiltak for å oppdage feilaktige personopplysningar og for å sjå til at opplysningane er oppdatere
- test av systema og gjennomgang av algoritmane for å sjå til at handsaminga er rettferdig og ikkje diskriminerande og at algoritmane ikkje valdar urimelege resultat
Det er laga felleseuropeisk rettleiing om automatiserte individuelle avgjerder (ec.europa.eu). Rettleiinga er særleg skriven for verksemder.
Automatiske avgjerder i praksis
Einskilde norske verksemder har teke i bruk automatiserte avgjerder. Dette gjeld til dømes Statens pensjonskasse som nyttar det i samband med behandling av lånesaker og i medlems- og pensjoneringssaker (spk.no).