GDPR's artikel 22 giver borgere en særlig beskyttelse mod afgørelser, der træffes udelukkende på baggrund af automatiseret behandling, herunder profilering, hvis afgørelsen har retsvirkning eller på tilsvarende måde betydeligt påvirker personen.
I takt med at kunstig intelligens, algoritmer og automatiserede beslutningssystemer bliver en integreret del af forretningsprocesser, er det vigtigt at forstå, hvordan GDPR regulerer brugen af teknologi. Artikel 22 sikrer, at væsentlige beslutninger om personer ikke træffes uden menneskelig indgriben, medmindre særlige betingelser er opfyldt.
Hvad indebærer Artikel 22?
Artikel 22 fastslår, at alle har ret til, at vigtige beslutninger med juridiske eller væsentlige konsekvenser ikke træffes udelukkende af en computer eller et automatisk system.
Retten gælder uanset teknologiens effektivitet, da pointen er at beskytte individet mod beslutninger, der træffes uden reel menneskelig vurdering.
Typiske eksempler er:
-
Automatisk kreditafslag uden menneskelig sagsbehandling
-
Algoritmisk screening i rekrutteringsprocesser, hvor ansøgere frasorteres uden efterfølgende manuel vurdering
-
Automatiske beslutninger der påvirker adgang til offentlige ydelser eller kontraktlige rettigheder
Undtagelser fra hovedreglen:
-
Nødvendighed for kontrakt: Afgørelsen er nødvendig for at indgå eller opfylde en kontrakt med den registrerede.
-
Lovhjemmel: Afgørelsen er tilladt ifølge EU-ret eller national lovgivning, der indeholder passende foranstaltninger til at beskytte den registreredes rettigheder og friheder.
-
Udtrykkeligt samtykke: Den registrerede har givet et frivilligt, specifikt, informeret og utvetydigt samtykke til den automatiserede behandling.
Selv når en undtagelse gælder, er det et krav, at der implementeres passende garantier.
LÆS OGSÅ: Behandlingshjemler under GDPR - vejen til lovlig databehandling
Krav til passende garantier
Hvis du som dataansvarlig anvender en af undtagelserne, skal du som minimum sikre, at den registrerede:
-
kan få meningsfuld menneskelig indgriben i beslutningsprocessen
-
har mulighed for at udtrykke sit synspunkt
-
kan anfægte afgørelsen
Derudover skal du give gennemsigtig information om den anvendte logik i hovedtræk og forklare betydningen og de forventede konsekvenser af afgørelsen.
Meningsfuld menneskelig indgriben i praksis
Begrebet “meningsfuld menneskelig indgriben” betyder, at en kompetent person gennemgår og vurderer afgørelsen, før den får virkning, og at vedkommende har reel mulighed for at ændre udfaldet. En formel godkendelse uden reelt tilsyn opfylder ikke kravet.
Særlige kategorier af oplysninger
Artikel 22 skærpes yderligere, hvis afgørelsen baseres på særlige kategorier af personoplysninger (fx helbredsoplysninger, politiske holdninger eller biometriske data). Her må automatiske afgørelser kun finde sted, hvis et af de specifikke undtagelsesgrundlag er opfyldt, og der samtidig er iværksat passende beskyttelsesforanstaltninger.
Hvordan sikrer du compliance med Artikel 22?
For at leve op til reglerne i Artikel 22 bør organisationen:
- kortlægge hvor der træffes udelukkende automatiske afgørelser
- vurdere om afgørelserne har retsvirkning eller tilsvarende betydelig effekt
- dokumentere det retlige grundlag (kontrakt, lovhjemmel eller samtykke)
- implementere de krævede garantier, herunder menneskelig indgriben
- sikre gennemsigtig kommunikation om logik, konsekvenser og rettigheder
- foretage en konsekvensanalyse, hvis behandlingen sandsynligvis udgør høj risiko for de registreredes rettigheder og friheder.
En systematisk tilgang til ovenstående punkter sikrer, at automatiserede afgørelser træffes lovligt, gennemsigtigt og med respekt for de registreredes rettigheder.
LÆS OGSÅ: Artikel 21 i GDPR: Retten til indsigelse
