Profilering används i allt flera offentliga och privata verksamheter som till exempel banker, försäkringar, myndigheter, vårdgivare och sociala nätverk. Någonting som regelbundet glöms bort är att dataskyddsförordningen (”GDPR”) innehåller strikta regler för profilering och att bristande regelefterlevnad kan leda till höga sanktionsavgifter.
GDPR:s definition av profilering
Enligt artikel 4.4 i GDPR avser profilering automatiserad behandling av personuppgifter i syfte att bedöma individers personliga egenskaper. Med automatiserad behandling av personuppgifter menas en datoriserad behandling av personuppgifter. Denna definition utesluter dock inte möjligheten för mänsklig inblandning. Exempel på bedömning av individers personliga egenskaper är att analysera eller förutsäga individers arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
En vårdgivare som använder maskinlärning för att förutse vilka patienter som sannolikt kommer att drabbas av en viss sjukdom profilerar patienterna i GDPR:s mening. Detsamma gäller för ett socialt nätverk som använder artificiell intelligens för att visa användarna reklam baserad på analyser av användarnas beteende. Även en myndighet som använder en algoritm för att hitta potentiella bidragsfuskare profilerar individer i GDPR:s mening.
Däremot är en enkel klassificering av individer utifrån kända egenskaper som ålder, kön och längd inte en profilering så länge den inte syftar till att bedöma individers personliga egenskaper. Ett exempel på detta är ett företag som klassificerar sina kunder utifrån deras ålder i syfte att ta fram aggregerad statistik som visar en åldersfördelning för företagets samtliga kunder. Företaget gör ingen bedömning av enskilda kunders personliga egenskaper varför klassificeringen inte utgör en profilering enligt GDPR.
Sammanfattningsvis använder GDPR en bred definition av begreppet profilering. Samtidigt måste en åtgärd syfta till att bedöma individers personliga egenskaper för att den ska anses utgöra profilering i GDPR:s mening.
Risker med profilering
De senaste årens snabba tekniska utveckling, och då särskilt framstegen inom artificiell intelligens, har gjort det enklare att profilera individer. Profilering kan vara till stor nytta för verksamheter och individer när den exempelvis används för att upptäcka patienter som troligt kommer att drabbas av en viss typ av cancer. Samtidigt kan profilering innebära risker för individer, som när den används för att påverka individers köpbeteende genom riktad reklam. Camebridge Analytica-skandalen har visat att profilering även kan innebära risker för samhället när tekniken används för att manipulera människors beteende i demokratiska val. Mot bakgrund av riskerna med profilering har GDPR infört särskilda bestämmelser för profilering som syftar till att skydda individer från omotiverade konsekvenser. Vi kommer att titta närmare på dessa regler i kommande artiklar.
Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.