Är du redo för dataskyddsförordningens bestämmelser om profilering?

EU:s dataskyddsförordning träder i kraft i maj 2018. Förordningen kommer att påverka automatisk bedömning av kunder och innehåller bestämmelser angående hur automatiska kreditbeslut fattas. Vad innebär detta för ditt företag och era kunder?

Den nya förordningen kommer att innehålla nya operativa krav för företag som behandlar personuppgifter. Kraven kommer att  gälla företag och organisationer från och med maj 2018. Förordningen omfattar bestämmelser om automatisk bedömning av personer, t.ex. kunder eller arbetssökande, genom databearbetning (som även kallas profilering).

Vad är profilering?
Generellt används profilering för att göra prognoser för en enskild persons framtida beteende, t.ex. baserat på hur de har agerat tidigare. Enligt dataskyddsförordningen definieras profilering som all automatisk bearbetning av data i syfte att bedöma personliga aspekter när detta har juridiska effekter för personen i fråga. T.ex. kan bedömningen röra personens prestation på arbetet, ekonomiska situation, personliga preferenser och intressen, pålitlighet eller framtida beteende.

Enligt dataskyddsförordningen definieras profilering som all automatisk bearbetning av data i syfte att bedöma personliga aspekter när detta har juridiska effekter för personen i fråga.

Det är viktigt att känna till att det enligt dataskyddsförordningen fortfarande är tillåtet att använda profilering på personer utan deras medgivande.

Men det finns vissa undantag.
Förordningen beaktar bara profilering som sker när databearbetningen är helt automatiserad. Det innebär att om bedömningen innefattar manuella steg – då är det inte längre profilering enligt beskrivningen i förordningen. Utöver detta anses det inte vara profilering vid databearbetning där data inte kan identifieras som tillhörande en viss person.

Att beslut med juridiska eller andra betydande effekter för en person ska fattas baserat på bedömningen är också en avgörande del av definitionen. Förordningen preciserar inte vilka dessa beslut skulle vara i praktiken. Rent praktiskt  kommer dataskyddsförordningen att innebära att profilering innefattar de automatiserade modeller för konsumentkreditbeslut som används för att bedöma en ansökandes kreditbetyg och framtida betalningsbeteende samt för att fatta beslut om att bevilja eller neka till krediten.

Det är viktigt att privatpersoners rättigheter skyddas
Personuppgifter får bearbetas och personer profileras endast när kraven i dataskyddsförordningen (artikel 6) är uppfyllda. I praktiken innefattar vanliga grunder för databearbetning en persons samtycke eller att personen ingår ett avtal. 

Dataskyddsförordningen innehåller ett omfattande skydd av en persons rättigheter vid automatiserad bearbetning av personuppgifter.

1) Personer har rätt att informeras om användningen av deras uppgifter till profilering. Enligt dataskyddsförordningen (artiklarna 13 och 14) är företag skyldiga att informera om sina avsikter att profilera och att redogöra för relevanta fakta om logiken, betydelsen och potentiella följder av profileringen i fråga. Personer har rätt att få samma information baserat på den registrerades rätt till tillgång (artikel 15). Logiken och betydelsen i profileringen kan förtydligas för kunder, t.ex. genom exempel.

2) Den registrerade kan göra invändning mot bearbetning av personuppgifter, och därmed profilering, (artikel 21), ///såvida inte/// databearbetningen sker i allmänt intresse eller är ett led i myndighetsutövning (punkt (e) i artikel 6 (1)) eller nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen (punkt (f) i artikel 6 (1)). Därför omfattar rätten att invända mot profilering inte situationer där profilering sker för att ingå ett avtal med personen i fråga – vilket är fallet vid kreditbeslut.

3)Personer har rätt att inte bli föremål för (artikel 22) ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Ett undantag till denna rättighet är också varje situation där profilering och efterföljande beslut är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, eller om detta grundar sig på den registrerades samtycke. Kravet utesluter inte profilering i syfte att fatta ett kreditbeslut.

Oavsett vad fallet är, måste kreditgivaren alltid skydda en persons rättigheter. Minimikravet är att kreditansökande har rätt att kräva att deras ansökan bearbetas av t.ex. en person och inte av ett automatiserat system. En andra bearbetning av ansökan innebär inte att utfallet automatiskt skulle bli ett annat.

Observera vägledningarna från Artikel 29-gruppen
Artikel 29-gruppen är ett samarbetsorgan med representanter från nationella tillsynsmyndigheter i EU:s medlemsstater. Gruppen är rådgivande och publicerar vägledningar avseende dataskyddsförordningen. Dessa kommer att spela en viktig roll vid vägledning för hur dataskyddsförordningen ska tolkas. Tre vägledningar har publicerats hittills, rörande dataportabilitet, dataskyddsombud och ansvarig tillsynsmyndighet.

Artiklarna i dataskyddsförordningen preciserar inte vad som, i praktiken, är ett beslut som har en juridisk eller liknande betydande effekt för en person. Detta är ett särskilt viktigt skäl till att vara uppmärksam på vägledningarna från Artikel 29-gruppen i framtiden.

Företag bör gå igenom sina processer och identifiera omständigheter som kan leda till profilering enligt beskrivningen i förordningen, dvs. där personliga aspekter bedöms och ett beslut med betydelse för personen fattas. Från och med maj 2018 måste det säkerställas att profilerade registrerade personer har möjlighet att lägga fram synpunkter, ifrågasätta beslutet, om nödvändigt, och få sitt ärende manuellt behandlat. Dessutom måste det säkerställas att förpliktelsen att informera om profileringen iakttas enligt dataskyddsförordningen.

Läsa våra tio tips för att förbereda er inför dataskyddsförordningen här.