Vissa personuppgiftsansvariga, till exempel banker, skattekontor och sjukhus använder algoritmer för att fatta beslut om dig med hjälp av dina personuppgifter. Det är effektivt för dem, men inte alltid öppet och tydligt för dig som enskild. Sådana beslut kan påverka dig juridiskt eller på annat sätt ha inverkan på din tillvaro.
När beslut fattas automatiskt måste den personuppgiftsansvariga
tala om för dig att beslutet är automatiserat
ge dig rätt att få beslutet granskat av en riktig person
ge dig möjlighet att bestrida beslutet.
Vad är ett automatiserat beslut?
Exempel på automatiserat beslutsfattande kan vara ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked från e-rekrytering via internet utan personlig kontakt.
Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för att kunna ingå eller fullgöra ett avtal mellan dig och den personuppgiftsansvariga eller om du har lämnat ett uttryckligt samtycke. Det kan även vara tillåtet enligt särskild lagstiftning.
Automatiska beslut
Exempel
Du ansöker om ett lån hos en internetbank. Du ombeds att skriva in dina uppgifter och bankens algoritm talar om ifall banken kommer att bevilja lånet och ger dig föreslagna räntesatser. Du måste samtidigt informeras om att du får uttrycka din åsikt, bestrida beslutet och be om att en person deltar i processen och ser över algoritmens beslut.
Ibland fattas automatiserade beslut med hjälp av profilering. Profilering är en automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper. Profilering kan till exempel användas för att analysera eller förutsäga dina arbetsprestationer, din ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet eller beteende. Vid automatiserade beslut som fattas med hjälp av profilering har du samma rättigheter som ovan.
Eftersom både automatiserade beslut och profilering innebär behandling av dina personuppgifter har du alltid rätt till information om hur uppgifterna hanteras.
Efter att du har fått informationen ovan från den personuppgiftsansvariga har du rätt att återkomma för att få det automatiserade beslutet granskat, eller för att bestrida det. För att göra det ska du kontakta företaget, myndigheten eller organisationen som behandlar dina uppgifter. Om verksamheten har en integritetspolicy kan du ofta hitta svar i den på hur du enklast når fram med din begäran. Vissa organisationer har också ett dataskyddsombud som du får kontakta med frågor som rör behandlingen av dina personuppgifter eller dina rättigheter.
Det finns inga särskilda formkrav för hur din begäran ska se ut. Du kan göra det muntligt eller skriftligt. Av bevisskäl och för tydlighetens skull kan det vara bra att du gör det skriftligt, till exempel genom att mejla.
Mer information
Den som behandlar dina personuppgifter ska återkomma till dig utan onödigt dröjsmål och senast inom en månad efter att ha fått din begäran.
När du utövar någon av dina rättigheter kan personuppgiftsansvariga i vissa fall behöva samla in ytterligare uppgifter om dig om det är nödvändigt så att de vet att de är i kontakt med rätt person.
Börja med att kontakta den personuppgiftsansvariga och berätta vad du tycker är fel.
Om den personuppgiftsansvariga är en myndighet kan du, om du är missnöjd med myndighetens återkoppling, begära att få ett skriftligt och motiverat beslut från myndigheten. Är du missnöjd med det beslutet har du möjlighet att överklaga det till domstol.
Om en personuppgiftsansvarig inte svarar på din begäran kan du lämna in ett klagomål till oss.
Behandling är ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring av personuppgifter.
All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det rör. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som gör det möjligt att koppla dem till en person.
Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, till exempel när det gäller enskilda firmor.