meny

Dina rättigheter när beslut fattas automatiskt

Vissa personuppgiftsansvariga, till exempel banker, skattekontor och sjukhus använder algoritmer för att fatta beslut om dig med hjälp av dina personuppgifter. Det är effektivt för dem, men inte alltid öppet och tydligt för dig som enskild. Sådana beslut kan påverka dig juridiskt eller på annat sätt ha inverkan på din tillvaro.

Vad innebär rättigheten?

När beslut fattas automatiskt måste den personuppgiftsansvariga

  • tala om för dig att beslutet är automatiserat
  • ge dig rätt att få beslutet granskat av en riktig person
  • ge dig möjlighet att bestrida beslutet.

Vad är ett automatiserat beslut?

Exempel på automatiserat beslutsfattande kan vara ett automatiserat avslag på en kreditansökan på internet eller ett nekande besked från e-rekrytering via internet utan personlig kontakt.

Automatiserat beslutsfattande kan vara tillåtet om det är nödvändigt för att kunna ingå eller fullgöra ett avtal mellan dig och den personuppgiftsansvariga eller om du har lämnat ett uttryckligt samtycke. Det kan även vara tillåtet enligt särskild lagstiftning.  

Exempel: Du ansöker om ett lån hos en internetbank. Du ombeds att skriva in dina uppgifter och bankens algoritm talar om ifall banken kommer att bevilja lånet och ger dig föreslagna räntesatser. Du måste samtidigt informeras om att du får uttrycka din åsikt, bestrida beslutet och be om att en person deltar i processen och ser över algoritmens beslut.

Ibland fattas automatiserade beslut med hjälp av profilering. Profilering är en automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper. Profilering kan till exempel användas för att analysera eller förutsäga dina arbetsprestationer, din ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet eller beteende. Vid automatiserade beslut som fattas med hjälp av profilering har du samma rättigheter som ovan.

Eftersom både automatiserade beslut och profilering innebär behandling av dina personuppgifter har du alltid rätt till information om hur uppgifterna hanteras.

Hur utövar jag rättigheten?

Efter att du har fått informationen ovan från den personuppgiftsansvariga har du rätt att återkomma för att få det automatiserade beslutet granskat, eller för att bestrida det. För att göra det ska du kontakta företaget, myndigheten eller organisationen som behandlar dina uppgifter. Om verksamheten har en integritetspolicy kan du ofta hitta svar i den på hur du enklast når fram med din begäran. Vissa organisationer har också ett dataskyddsombud som du får kontakta med frågor som rör behandlingen av dina personuppgifter eller dina rättigheter.

Det finns inga särskilda formkrav för hur din begäran ska se ut. Du kan göra det muntligt eller skriftligt. Av bevisskäl och för tydlighetens skull kan det vara bra att du gör det skriftligt, till exempel genom att mejla.

Hur lång tid behöver jag vänta på besked?

Den som behandlar dina personuppgifter ska återkomma till dig utan onödigt dröjsmål senast inom en månad efter att ha fått din begäran.

Får den personuppgiftsansvariga samla in information om mig när jag vill utöva mina rättigheter?

När du utövar någon av dina rättigheter kan personuppgiftsansvariga i vissa fall behöva samla in ytterligare uppgifter om dig så att de vet att de är i kontakt med rätt person. 

När får den personuppgiftsansvariga säga nej till min begäran?

Om begäran är uppenbart ogrundad eller orimlig, till exempel om du vid upprepade tillfällen begär samma sak.

När får den personuppgiftsansvariga säga nej till min begäran?

Kostar det något att utöva mina rättigheter?

Nej, du har rätt att utöva dina rättigheter kostnadsfritt. Det finns dock vissa situationer när en avgift kan tas ut.

Avgift

Vad gör jag om min begäran inte besvaras eller om jag är missnöjd med svaret?

Börja med att kontakta den personuppgiftsansvariga och berätta vad du tycker är fel. Det finns även möjlighet att lämna tips eller klagomål till oss.

Klagomål

Kan jag få skadestånd?

Ja, du kan ha rätt till ersättning om du har lidit skada på grund av att dina personuppgifter har behandlats i strid med dataskyddsförordningen.

Skadestånd

Ordförklaringar

Behandling (av personuppgifter)

Behandling är ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring av personuppgifter.

Personuppgifter

All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det rör. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, till exempel när det gäller enskilda firmor.

Rättsinformation

Artikel 4 dataskyddsförordningen (punkt 4.4)
Artikel 22 dataskyddsförordningen
EDPB:s riktlinje om automatiserat individuellt beslutsfattande och begreppet profilering