Er du klar til GDPR-lovgivning vedrørende profilering?

EUs General Data Protection Regulation (GDPR) (Generel forordning om databeskyttelse) træder i kraft i maj 2018. Lovgivningen vil påvirke den automatiske evaluering af kunder og fastsætte regler for, hvordan der kan foretages automatiske kreditbeslutninger. Hvad betyder dette for dig og dine kunder?
Are you prepared for the GDPR?

Den nye lovgivning vil stille nye driftsmæssige krav til virksomheder, der håndterer persondata, og den skal implementeres af virksomheder og organisationer fra maj 2018 og fremadrettet. Lovgivningen omfatter bestemmelser om, hvordan mennesker, såsom kunder og jobansøgere, må evalueres automatisk via databehandling (også kaldet profilering).

Hvad er profilering?
Generelt er hensigten med profilering at forudsige en persons fremtidige adfærd, f.eks. baseret på personens tidligere handlinger. I henhold til GDPR defineres profilering som enhver automatisk behandling af data, der udføres med henblik på at evaluere personlige aspekter, når dette har retlige virkninger i forhold til den pågældende person. Evalueringen kan f.eks. dreje sig om den pågældende persons arbejdsmæssige præstationer, økonomiske situation, personlige præferencer og interesser, pålidelighed eller fremtidige adfærd.

I henhold til GDPR defineres profilering som enhver automatisk behandling af data, der udføres med henblik på at evaluere personlige aspekter, når dette har retlige virkninger i forhold til den pågældende person.

Det er vigtigt for dig at vide, at GDPR fortsat tillader profilering af personer uden deres samtykke.

Men der er undtagelser.
Lovgivningen betragter udelukkende denne evaluering som profilering, når databehandlingen er fuldt automatiseret. Dette betyder, at hvis evalueringen omfatter manuelle arbejdsgange, så er der ikke længere tale om profilering i henhold til lovgivningen. Desuden anses enhver databehandling, hvor dataene ikke kan identificeres som tilhørende en enkeltperson, ikke for at være profilering.

Det faktum, at en beslutning, der har retlige eller på anden måde signifikante virkninger i forhold til den pågældende person, kan tages på grundlag af evalueringen, udgør også en vigtig del af definitionen. Lovgivningen specificerer ikke, hvad disse beslutninger i praksis ville gå ud på. Rent praktisk vil GDPR som minimum definere profilering som de automatiserede kreditbeslutningsmodeller for forbrugere, som anvendes til at evaluere en ansøgers kreditvurdering og fremtidige betalingsadfærd, samt det at tage beslutningen om, hvorvidt kredit skal ydes eller afvises.

Det er vigtigt, at personlige rettigheder beskyttes
Persondata må kun behandles, og der må kun fortages profilering af personer, når kravene i GDPR (Artikel 6) er opfyldt. I praksis omfatter det typiske grundlag for databehandling, at den pågældende person har givet sit samtykke, eller at personen har indgået en aftale. 

GDPR indeholder en omfattende behandling af en persons rettigheder i forbindelse med den automatiske behandling af persondata.

Personer har ret til at blive informeret om brugen af deres data med henblik på profilering. GDPR (Artikel 13 og 14) pålægger virksomheder at informere om deres intention om at foretage profilering og at præsentere de relevante oplysninger vedrørende logikken heri samt betydningen og de potentielle konsekvenser af en sådan profilering. De registrerede personer har ret til at modtage de samme oplysninger på grundlag af personernes indsigtsret (Artikel 15). Logikken i forbindelse med og betydningen af profileringen kan klargøres for kunderne, f.eks. ved brug af eksempler. Den registrerede person kan gøre indsigelse mod behandlingen af persondata og den heraf følgende profilering (Artikel 21), når databehandlingen foretages af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse (punkt (e) i Artikel 6(1)), eller med henblik på legitime interesser, der forfølges af den dataansvarlige eller en tredjemand (punkt (f) i Artikel 6(1)). Derfor omfatter retten til at gøre indsigelse mod profilering ikke situationer, hvor profileringen udføres med henblik på at indgå en aftale med den pågældende person – som det er tilfældet med kreditbeslutninger. Personer har ret til ikke at være genstand for (Artikel 22) en afgørelse, der alene er baseret på automatisk behandling, og som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. En undtagelse fra denne rettighed er dog enhver situation, hvor profileringen og den efterfølgende beslutningstagning er nødvendig af hensyn til indgåelse af en aftale mellem en person og en virksomhed, eller hvis dette gøres med personens samtykke. Dette krav udelukker ikke profilering med henblik på at foretage en kreditbeslutning.

Uanset situationen skal kreditudbyderen altid beskytte den pågældende persons rettigheder. Minimumskravet er, at kreditansøgeren har ret til at forlange, at den pågældende persons ansøgning bliver behandlet af – for eksempel – en fysisk person i stedet for af et automatisk system. En anden behandling af ansøgningen betyder ikke nødvendigvis, at resultatet ville være et andet.

Læg mærke til retningslinjerne i Artikel 29 WP
Artikel 29 Working Party er et samarbejdsorgan, der består af repræsentanter for de nationale tilsynsmyndigheder i EU-medlemsstaterne, som udformer og publicerer retningslinjer vedrørende den generelle lovgivning vedrørende databeskyttelse. Disse retningslinjer kommer til at spille en vigtig rolle med henblik på fortolkningen af GDPR. Indtil videre er der publiceret tre retningslinjer, nemlig vedrørende Data Portability (databærbarhed), Data Protection Officers (DPO'er) (databeskyttelsesansvarlige) og Lead Supervisory Authority (ledende tilsynsmyndighed).

Artiklerne i GDPR specificerer ikke, hvad der i realiteten ville udgøre en beslutning, som ville have retlige eller lignende signifikante virkninger for en person. Dette er en særligt vigtig grund til, at der bør lægges nøje mærke til de retningslinjer, der udstedes af Artikel 29 WP i fremtiden.

Virksomheder bør gennemgå deres processer og identificere alle omstændigheder, som kan føre til profilering som beskrevet i lovgivningen, dvs. situationer hvor personlige aspekter evalueres, og der tages en beslutning, der har betydning for den pågældende person. Fra og med maj 2018 skal det sikres, at den registrerede (profilerede) person har mulighed for at give udtryk for sin mening, udfordre beslutningen og – om nødvendigt – kan få sin sag behandlet manuelt. Desuden skal det sikres, at forpligtelsen til at informere om profilering overholdes i overensstemmelse med GDPR.

prerae for the GDPR

Læs vores ti råd til, hvordan du kommer i gang med forberede dig på GDPR her