Dataskyddsförordningen

Automatiserat individuellt beslutsfattande, inbegripet profilering Enligt dataskyddsförordningen har den enskilde rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behand-ling, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.³¹ Sådant automatiserat beslutsfattande kan emellertid vara tillåtet, t.ex. enligt unionsrätten eller nationell rätt som fast-ställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.³²

Profilering innebär varje form av automatisk behandling av personuppgifter när uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga

30 För informationssäkerhet som avser digital information används ibland begreppet cyber-säkerhet. Cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext. Här använder vi dock främst begreppet informationssäkerhet.

31 Artikel 22.1, se även skäl 71.

32 Artikel 22.2.b.

Automation i förvaltningen SOU 2018:25

personens arbetsprestationer, ekonomiska situation, hälsa, person-liga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.³³

Automatiserade beslut kan fattas med eller utan profilering.

Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Ett beslut kan också grundas på profilering utan att beslutet enbart är baserat på automatiserad behandling, dvs.

ett delvis automatiserat beslutsfattande.

Rättsliga frågor om innebörden av bestämmelsen om auto-matiserat beslutsfattande har i varierande utsträckning diskuterats sedan det tidigare dataskyddsdirektivet från 1995 trädde i kraft.³⁴ Diskussionerna har nu förts med förnyat intresse, bl.a. mot bak-grund av de sanktioner som kan följa om personuppgifter behandlas i strid med dataskyddsförordningen.

En av de frågor som har diskuterats är om sådana automatiserade processer som resulterar i ett stöd för beslut i individuella fall men inte genererar ett faktiskt beslut, med andra ord ett delvis men inte helt automatiserat beslutsfattande, faller utanför de ovan nämnda specifika krav som förordningen ställer upp beträffande automati-serade beslut. Det förefaller som att det finns få avgöranden i europeisk domstolspraxis där dessa frågor har belysts eller prövats i domstolar runt om i Europa trots att dataskyddsdirektivet varit i kraft i över 20 år.³⁵

Mot den beskrivna bakgrunden är det välkommet att den s.k.

artikel 29-gruppen³⁶ nu lämnat en särskild vägledning om auto-matiserat individuellt beslutsfattande, inbegripet profilering. I väg-ledningen anges att med beslut som enbart grundas på automatiserad behandling avses att det inte finns någon mänsklig inblandning i

33 Artikel 4.4, se även skäl 72. Se även information på Datainspektionens webbplats www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades-rattigheter/automatiserad-behandling/

34 EG:s dataskyddsdirektiv (95/46), som genomförts i svensk rätt genom personuppgiftslagen (1998:204). Se även Wachter, Sandra m.fl., Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, December 28, 2016. International Data Privacy Law, 2017. Available at SSRN: https://ssrn.com/abstract=2903469

35 A.a.

36 För att dataskyddsdirektivet (95/46) skulle tillämpas på ett enhetligt sätt i medlemsstaterna bildades den så kallade artikel 29-gruppen. Gruppen har fått sitt namn av artikel 29 i data-skyddsdirektivet och i artikel 30 finns bestämmelser om gruppens uppgifter.

SOU 2018:25 Automation i förvaltningen

beslutsprocessen. Den personuppgiftsansvarige³⁷ kan dock inte kringgå de särskilda reglerna om helt automatiserat individuellt beslutsfattande genom att införa en mänsklig inblandning som inte är meningsfull.³⁸

I ett annex till vägledningen lämnar artikel 29-gruppen rekom-mendationer om hur personuppgiftsansvariga kan gå till väga för att möta de krav som följer av förordningen. I fråga om lämpliga skyddsåtgärder vid helt automatiserat beslutsfattande anges bl.a. att den personuppgiftsansvarige kan överväga regelbundna kvalitets-kontroller av sina system för att säkerställa att enskilda behandlas rättvist och inte diskrimineras, tillsyn och tester av sina algoritmer som t.ex. utvecklats genom maskininlärning, särskilda åtgärder för dataminimering, anonymisering eller pseudonymisering av uppgifter och att den enskilde tillerkänns vägar för att uttrycka sin mening och få mänsklig kontakt.

I rekommendationerna anges också att personuppgiftsansvariga kan utforska möjligheter till certifieringsmekanismer eller uppför-andekoder för tillsyn av processer som involverar maskininlärning, liksom översyn av etiska kommittéer eller liknande för att värdera risker och nytta med den profilering som avses.³⁹

Information och tillgång till personuppgifter

Den personuppgiftsansvarige måste enligt dataskyddsförordningen informera de registrerade om att automatiserat beslutsfattande används. Denna rätt till information innebär bl.a. att den person-uppgiftsansvarige ska lämna information om förekomsten av beslut som enbart grundas på automatiserad behandling. I dessa fall ska den personuppgiftsansvarige också lämna meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.⁴⁰

En rättsfråga som diskuteras inom EU är vilka närmare explicita eller underförstådda krav förordningen egentligen ställer i fråga om

37 Med personuppgiftsansvarig menas en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; se artikel 4.7 dataskyddsförordningen.

38 Se artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, 17 EN WP 251, Adopted on 3 October 2017 s. 9 f. om beslut som enbart grundas på automatiserad behandling.

39 A.a. s. 30.

40 Artikel 13.2.f och 14.2.g. Se även a.a. s. 23 f.

Automation i förvaltningen SOU 2018:25

rätten för den enskilde att få en förklaring av ett individuellt beslut som fattats automatiserat. Vissa har menat att förordningens reglering medför en särskild rätt att få en förklaring av såväl det individuella beslutet som detaljer om det bakomliggande förfarande som lett fram till det, medan andra hävdar att enskilda enligt förord-ningen enbart har rätt att få övergripande information om logiken bakom besluten i generell bemärkelse.⁴¹ Frågan har besvarats i linje med det sistnämnda alternativet av artikel 29-gruppen.⁴²

Den enskilde har också bl.a. rätt till tillgång till personuppgifter och meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registre-rade.⁴³ Rätten till tillgång är mycket snarlik den ovan beskrivna rätten till information, men en skillnad är att rätten till information ska tillgodoses innan en behandling av personuppgifter påbörjas medan rätten till tillgång ska mötas först efter den enskildes begäran.

Även när det gäller rätten till tillgång har det förts diskussioner om hur långt denna rätt till tillgång egentligen sträcker sig, bl.a. när det gäller underliggande algoritmer och programkod, respektive hur den rättigheten förhåller sig till bl.a. immaterialrättslig skyddsreglering.⁴⁴

Artikel 29-gruppen klargör i den ovan nämnda vägledningen att också rätten till tillgång innebär en mer övergripande rättighet, snarare än en rätt till en förklaring av ett specifikt beslut. Skälen i förordningen ger också uttryck för ett visst skydd för person-uppgiftsansvariga vad gäller immateriella rättigheter eller affärs-hemligheter. Dessa rättigheter behöver dock sättas i förhållande till den aktuella kontexten och balanseras mot enskildas rätt till infor-mation.⁴⁵ Skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas ska enligt förslaget till kompletterande dataskyddslag inte heller gälla personuppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.⁴⁶

41 Se Bryce Goodman och Seth Flaxman, European Union regulations on algorithmic decision-making and a “right to explanation”, augusti 2016, Oxford Internet Institute. Jfr Wachter, Sandra m.fl. a.a.

42 A.a. s. 13 f.

43 Artikel 13.2.f och14.2.g.

44 Artikel 15.1.h och skäl 63.

45 A.a. s. 24.

46 Se förslag till 5 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskydds-förordning, Ny dataskyddslag, prop. 2017/18:105.

SOU 2018:25 Automation i förvaltningen

När det gäller rätten till information rekommenderar artikel 29-gruppen att den personuppgiftsansvarige kan överväga bl.a. visua-lisering eller ikoner som informerar den enskilde om profilering och automatiserat beslutsfattande. Meningsfull information om logiken som är involverad bör i de flesta fall innebära att den personuppgifts-ansvarige tillhandahåller information om vilka kategorier av upp-gifter som används i en profil, källan till de uppgiftsmängderna, hur profilen är uppbyggd (inklusive statistik som används i profilen), varför profilen är relevant för den automatiserade beslutsprocessen och hur den används för ett beslut som rör den enskilde.⁴⁷

När det gäller rätten till tillgång rekommenderar artikel 29-gruppen bl.a. att det generellt sett kommer att vara mer relevant att lämna information om vilka kategorier av uppgifter som har använts eller kommer att användas vid profileringen eller beslutsprocessen och varför dessa tillämpas, än att tillhandahålla en komplex matematisk förklaring om hur algoritmer eller maskininlärning fungerar. Det sistnämnda bör dock också tillhandahållas om det är nödvändigt för att experter närmare ska kunna verifiera hur processen för besluts-fattande fungerar. Personuppgiftsansvariga kan vidare vilja överväga att implementera mekanismer som möjliggör för enskilda att kon-trollera sin profil, inklusive detaljer om uppgifter och källor som använts för att utveckla den.⁴⁸

Övrig dataskyddsreglering

Utöver de bestämmelser som presenterats ovan gäller även de generella reglerna i dataskyddsförordningen vid automatiserat beslutsfattande.

Här kan bl.a. nämnas kraven på att behandlingen av personuppgifter ska vara laglig, korrekt och öppen,⁴⁹ att ändamålsbegränsningar ska beaktas,⁵⁰ principerna om dataminimering, korrekthet och lagrings-minimering,⁵¹ att rättslig grund krävs för behandling⁵² och att laglig

47 Se artikel 29-gruppen, a.a. s. 28.

48 A.a. s. 29.

49 Artikel 5.1.a.

50 Artikel 5.1.b och 6.4.

51 Artikel 5.1.c-e.

52 Artikel 6.1, här framför allt c och e och förslag till 2 kap. 1 och2 §§ lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, prop. 2017/18:105.

Automation i förvaltningen SOU 2018:25

behandling av känsliga personuppgifter fordrar särskilt stöd,⁵³ rätten till rättelse, radering och begränsning av behandling,⁵⁴ rätten att göra invändning mot profilering,⁵⁵ vikten av att iaktta särskild restrik-tivitet när det gäller behandling av barns personuppgifter⁵⁶ och att konsekvensbedömning avseende dataskydd torde krävas vid varje form av automatiserat beslutsfattande, dvs. även när beslutsfattandet är delvis men inte helt automatiserat.⁵⁷

Regeringen har vidare föreslagit att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpnings-område, t.ex. i verksamhet som rör nationell säkerhet.⁵⁸

Vid sidan av dataskyddsförordningen innehåller EU:s skyddsreform ett separat dataskyddsdirektiv som behandlar data-skyddet vid bl.a. brottsbekämpning, lagföring och straffverkställig-het.⁵⁹ Direktivet innehåller reglering av samma eller liknande karaktär som dataskyddsförordningen men är anpassat för den särskilda verk-samhet som bedrivs på området för brottsbekämpning och brottmåls-hantering. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att direktivet i huvudsak ska genomföras i svensk rätt genom en ny ramlag, brottsdatalagen. Lagen kompletteras med en förordning som genomför vissa detaljbestämmelser i direktivet.⁶⁰ Utredningen har också föreslagit de anpassningar som krävs med anledning av ramlagen i de registerförfattningar som ingår i utredningens uppdrag, bl.a. polis-datalagen (2010:361). De särskilda registerförfattningarna på direk-tivets område föreslås gälla utöver brottsdatalagen. Det innebär att registerförfattningarna innehåller bestämmelser som är precise-ringar, undantag eller avvikelser från bestämmelserna i

53 Artikel 9 och förslag till 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s data-skyddsförordning, a. prop.

54 Artikel 16–18.

55 Artikel 21.1.

56 Skäl 38.

57 Artikel 35.3.a och artikel 29-gruppen, a.a.s. 27.

58 1 kap. 2 § förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, a. prop.

59 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på-följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet).

60 Brottsdatalag (SOU 2017:29).

SOU 2018:25 Automation i förvaltningen

lagen. Vidare innebär det att bestämmelserna i registerförfatt-ningarna ska läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av denna reglering.⁶¹

I dataskyddsdirektivet på det brottsbekämpande området före-skrivs att det ska införas förbud mot automatiserade beslut, såvida inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är föreskrivet lämpliga skyddsåtgärder för den enskilde.⁶² Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Skyddsåtgär-derna ska vidare innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Automatiserade beslut får inte grundas på känsliga personuppgifter, om inte lämpliga skyddsåtgärder har vid-tagits. Profilering som leder till diskriminering av fysiska personer på grundval av känsliga personuppgifter ska förbjudas.⁶³

Utredningen om 2016 års dataskyddsdirektiv har anfört att det inom ramlagens tillämpningsområde i dag inte förekommer några automatiserade beslut, men att det med teknikutvecklingen inte kan uteslutas att det i framtiden kommer att finnas sådana. Den svenska ramlagen på direktivets område bör enligt utredningen innehålla en bestämmelse om automatiserade beslut eftersom direktivet sätter gränser för sådana beslut. Automatiserade beslut som enbart grun-dar sig på känsliga personuppgifter bör enligt utredningen för-bjudas.⁶⁴

Våra inledande överväganden

Som framgått ovan har det under lång tid förelegat en rättslig osäker-het rörande dataskyddsregleringens bestämmelser om automatiserat beslutsfattande. Det är därför välkommet att artikel 29-gruppens vägledning klargör flera frågor inför att dataskyddsförordningen ska börja tillämpas. De rekommendationer som lämnas utöver väg-ledningen ger också en god bild över personuppgiftsansvarigas praktiska möjligheter att ordna sin personuppgiftsbehandling för att

61 Brottsdatalag – kompletterande lagstiftning (SOU 2017:74), s. 328 f.

62 Artikel 11 dataskyddsdirektivet.

63 Skäl 38.

64 2 kap. 19 § förslag till brottsdatalag och SOU 2017:29 s. 287 f.

Automation i förvaltningen SOU 2018:25

dels kunna följa förordningens krav, dels kunna visa att man följer dem. De rekommendationer som artikel 29-gruppen har lämnat är emellertid inte rättsligt bindande.

Det kvarstår vidare vissa frågor om hur den särskilda artikeln om automatiserat beslutsfattande ska tillämpas av svensk förvaltning.

Det gäller t.ex. frågan om vad som i förordningens mening anses utgöra ett ”beslut”. Vad som utgör beslut enligt dataskyddsförord-ningen, med dess breda tillämpningsområde, är givetvis inte knutet till svensk förvaltningsrätt. Att i vart fall de slutliga beslut som fattas inom förvaltningen omfattas av begreppet ”beslut” bedömer vi stå klart. Vilka, om några, beslut under handläggningen som omfattas är däremot inte lika givet. Det är med andra ord oklart om förord-ningens särskilda artikel om automatiserat beslutsfattande ska tillämpas vid t.ex. förfaranden för automatiserat urval eller kontroll, med andra ord profilering, som inte renderar något slutligt beslut i förvaltningsrättslig mening.

Det är också oklart vilken räckvidd förordningens särskilda bestämmelse om automatiserat beslutsfattande har när personupp-gifter i och för sig förekommer i samband med ett beslut som är slutligt, men där själva beslutsunderlaget utgörs av annan infor-mation än personuppgifter. Det kan t.ex. röra sig om ett beslut om fastighetstaxering som t.ex. innehåller personuppgifter i form av kontaktuppgifter och fastighetsbeteckning, men där uppgifterna som utgör beslutsunderlaget har ingen eller mycket liten koppling till den enskildes (dvs. den registrerades) personliga egenskaper eller förhållanden. Ett sådant, om än slutligt och automatiserat, beslut kan i vart fall inte sägas innefatta någon profilering. Den enskildes insynsintresse i fråga om den bakomliggande logik som har styrt beslutet kan dock vara lika stort oavsett om förordningens bestämmelse ska tillämpas eller inte. Frågan är emellertid om det insynsintresset tillgodoses med stöd av dataskyddsförordningen eller med stöd av annan nationell rätt.

Det finns också anledning att särskilt reflektera över räckvidden i dataskyddsförordningens bestämmelser. En central iakttagelse är att förordningens bestämmelser syftar till att skydda fysiska perso-ners grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. De rättigheter till bl.a. insyn som stipule-ras genom bestämmelserna om informationsskyldigheter och rätt till

SOU 2018:25 Automation i förvaltningen

tillgång till uppgifter tillerkänns därför enbart den eller de registre-rade. Förordningen ger med andra ord inte stöd för en bredare insyn i hur förvaltningens verksamhet bedrivs. Möjligheter till insyn i för-valtningens verksamhet för journalistisk granskning, granskning av Riksrevisionen, Riksdagens ombudsmän (JO) och Justitiekanslern liksom allmänhetens möjligheter till insyn följer i stället av nationell rätt.⁶⁵

Det står också klart att vid processer som inte innefattar behand-ling av personuppgifter blir förordningen inte tillämplig. Auto-matiserade förfaranden i förvaltningen som inte innefattar person-uppgiftsbehandling kan t.ex. röra förvaltningsbeslut baserade på miljöinformation som varken direkt eller indirekt relaterar till någon enskild person. Inom exempelvis utvecklingsområdet ”smarta städer”⁶⁶ och samhällsbyggnadsprocessen torde det också komma att aktualiseras att myndigheter i sina automatiserade processer fattar förvaltningsrättsliga beslut baserat på data som inte relaterar till individer eller alls innefattar behandling av personuppgifter. Där-emot är även den typ av beslut som rör stadens utformning och funktioner av påtaglig betydelse för utvecklingen av ett hållbart samhälle, och därmed också viktiga för många människor.

En utgångspunkt för utredningen är att den tekniska utvecklingen inom förvaltningen inte får leda till en försvagning av offentlighets-principen. Den utgångspunkten bottnar i tidigare gjorda rättspolitiska uttalanden.⁶⁷ Dataskyddsförordningens stärkta insynsmöjligheter för den enskilde som registrerats inverkar enligt oss inte på den utgångspunkten. Även allmänhetens insyn, dvs. möjligheten för alla och envar att få insyn i myndigheternas verksamhet behöver alltså fortsatt säkerställas och inte vara beroende av tekniken för infor-mationshantering.⁶⁸

65 Artikel 85 och 86 dataskyddsförordningen.

66 En smart och hållbar stad beskrivs bl.a. på www.smartastader.com vara en innovativ stad som använder informations- och kommunikationstekniker och andra medel för att förbättra livskvaliteten, effektiviteten hos stadsfunktioner och -tjänster och konkurrenskraften, sam-tidigt som den säkerställer att den uppfyller nuvarande och framtida generationers behov med hänsyn till ekonomiska, sociala och miljömässiga aspekter.

67 Se bl.a. Offentlighets- och sekretesskommitténs delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97), s. 94.

68 Jfr även artikel 86 i dataskyddsförordningen.

Automation i förvaltningen SOU 2018:25

7.6.2 Partsinsyn och förvaltningslagen