Det blir allt vanligare att offentliga och privata verksamheter automatiserar beslutsfattande exempelvis vid kreditprövningar eller ansökan om föräldrapenning. Någonting som regelbundet glöms bort är att dataskyddsförordningen (”GDPR”) innehåller strikta regler för automatiserat beslutsfattande och att bristande regelefterlevnad kan leda till höga sanktionsavgifter.
Risker med automatiserat beslutsfattande
Automatiserat beslutsfattande är förmågan att fatta beslut på teknisk väg, utan mänsklig inblandning. Automatiserade beslut fattas vanligtvis av en datoralgoritm i enlighet med kriterier som har tagits fram av människor. Algoritmen fattar således inga självständiga beslut utan följer endast instruktioner som den har fått av en människa.
Automatiserat beslutsfattande kan leda till stora effektivitetsvinster varför det är ett viktigt verktyg för privata och offentliga verksamheter. Samtidigt beror kvalitén av de automatiserade beslut som fattas i hög grad på hur algoritmen har utformats. En bristfällig utformning levererar bristfälliga resultat som kan påverka personerna som berörs på ett negativt sätt.
Som ett exempel på vad som kan gå fel föreställer vi oss en myndighet som beviljar bidrag baserat på automatiserade beslut. De sökande måste fylla i en webbenkät med uppgifter om bland annat namn, ålder, kön och adress. Utvecklarna som har tagit fram algoritmen har, utan att vara medvetna om detta, skapat kriterier för automatiserade beslut som gynnar en viss grupp av människor, exempelvis unga män som bor inom tullarna i Stockholm. Detta innebär samtidigt att kriterierna riskerar att diskriminera en annan grupp av människor, till exempel unga kvinnor som bor utanför Stockholm. Det är därför viktigt att säkerställa att kriterierna som används för automatiserat beslutsfattande inte diskriminerar vissa grupper av människor.
Automatiserat beslutsfattande och personuppgifter
När automatiserade beslut rör personer bearbetar den underliggande algoritmen uppgifter om enskilda personer som till exempel personernas ålder och kön. Dessa uppgifter utgör personuppgifter som omfattas av GDPR. Men algoritmen kan även ta fram nya uppgifter om personerna som den analyserar som exempelvis sannolikheter för att personen kommer att bete sig på ett visst sätt eller att en viss händelse kommer att inträffa. Även dessa uppgifter utgör personuppgifter i GDPR:s mening. Samtidigt finns automatiserade beslut som inte rör personer som till exempel algoritmer som styr industriprocesser. I dessa fall behandlas vanligtvis inga personuppgifter.
Automatiserade beslut som rör personer kan fattas med eller utan profilering, som är en speciell typ av automatiserat beslutsfattande och som syftar till att bedöma personers individuella egenskaper. Profilering kan ske utan att det fattas ett automatiserat beslut. Profilering och automatiserat beslutsfattande är dock inte nödvändigtvis separata aktiviteter. Något som startar som en enkel automatiserad beslutsprocess kan resultera i ett beslut som grundas på profilering, beroende på hur uppgifterna används.
Att utfärda fortkörningsböter enbart utifrån bevis från fartkameror är en automatiserad beslutsprocess som inte nödvändigtvis innebär att personer profileras. Det blir dock ett beslut grundat på profilering om personers körvanor övervakas över tid och det utdömda bötesbeloppet baseras på förarens personliga egenskaper, som exempelvis om föraren har bötfällts tidigare eller om föraren har gjort sig skyldig till andra trafikförseelser.
Mot bakgrund av riskerna med automatiserad beslutsfattande och profilering har GDPR infört särskilda bestämmelser som syftar till att skydda individer från omotiverade eller negativa konsekvenser. Vi kommer att titta närmare på dessa regler i kommande artiklar.
Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.