Kunskap: Vad är profilering?

Profilering används i allt flera offentliga och privata verksamheter som till exempel banker, försäkringar, myndigheter, vårdgivare och sociala nätverk. Någonting som regelbundet glöms bort är att dataskyddsförordningen (”GDPR”) innehåller strikta regler för profilering och att bristande regelefterlevnad kan leda till höga sanktionsavgifter.

GDPR:s definition av profilering

Enligt artikel 4.4 i GDPR avser profilering automatiserad behandling av personuppgifter i syfte att bedöma individers personliga egenskaper. Med automatiserad behandling av personuppgifter menas en datoriserad behandling av personuppgifter. Denna definition utesluter dock inte möjligheten för mänsklig inblandning. Exempel på bedömning av individers personliga egenskaper är att analysera eller förutsäga individers arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

En vårdgivare som använder maskinlärning för att förutse vilka patienter som sannolikt kommer att drabbas av en viss sjukdom profilerar patienterna i GDPR:s mening. Detsamma gäller för ett socialt nätverk som använder artificiell intelligens för att visa användarna reklam baserad på analyser av användarnas beteende. Även en myndighet som använder en algoritm för att hitta potentiella bidragsfuskare profilerar individer i GDPR:s mening.

Däremot är en enkel klassificering av individer utifrån kända egenskaper som ålder, kön och längd inte en profilering så länge den inte syftar till att bedöma individers personliga egenskaper. Ett exempel på detta är ett företag som klassificerar sina kunder utifrån deras ålder i syfte att ta fram aggregerad statistik som visar en åldersfördelning för företagets samtliga kunder. Företaget gör ingen bedömning av enskilda kunders personliga egenskaper varför klassificeringen inte utgör en profilering enligt GDPR.

Sammanfattningsvis använder GDPR en bred definition av begreppet profilering. Samtidigt måste en åtgärd syfta till att bedöma individers personliga egenskaper för att den ska anses utgöra profilering i GDPR:s mening.

Risker med profilering

De senaste årens snabba tekniska utveckling, och då särskilt framstegen inom artificiell intelligens, har gjort det enklare att profilera individer. Profilering kan vara till stor nytta för verksamheter och individer när den exempelvis används för att upptäcka patienter som troligt kommer att drabbas av en viss typ av cancer. Samtidigt kan profilering innebära risker för individer, som när den används för att påverka individers köpbeteende genom riktad reklam. Camebridge Analytica-skandalen har visat att profilering även kan innebära risker för samhället när tekniken används för att manipulera människors beteende i demokratiska val. Mot bakgrund av riskerna med profilering har GDPR infört särskilda bestämmelser för profilering som syftar till att skydda individer från omotiverade konsekvenser. Vi kommer att titta närmare på dessa regler i kommande artiklar.

Vill du lära dig mer om GDPR  och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.