Hoppa till innehåll på sidan

Under kvällen den 27 maj genomför vi ett planerat underhåll av IMY.se.
Webbplatsen, och våra e-tjänster, kan därför vara svåra att nå en kortare stund denna kväll. Besökare kan komma att se en servicesida.

Automatiserat beslutsfattande

Automatiserat, individuellt beslutsfattande enligt dataskyddsförordningen, GDPR, innebär att beslut fattas helt utan mänsklig inblandning och med rättsliga eller betydande konsekvenser för den enskilde. Huvudregeln är att sådana beslut är förbjudna, men undantag finns när man ingår ett avtal, vid lagstöd eller vid uttryckligt samtycke. Då måste den personuppgiftsansvarige informera om beslutsprocessen och förklara hur resultatet har uppstått.

Automatiserat, individuellt beslutsfattande innebär att beslut fattas utan att en fysisk person är inblandad. Det är själva beslutsfattandet som ska ske genom automatiserad personuppgiftsbehandling för att det ska vara fråga om automatiserat, individuellt beslutsfattande. Om en AI-modell används som stöd i beslutsfattandet men det är en fysisk person som fattar själva beslutet är det som utgångspunkt  inte fråga om ett sådant automatiskt, individuellt beslutsfattande som avses i GDPR.

För att det ska vara fråga om automatiserat, individuellt beslutsfattande i den mening som avses i GDPR krävs också att beslutsfattandet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar personen. Beslut som i betydande grad påverkar enskilda kan till exempel vara ett beslut om avslag på en kreditansökan online som sker genom en helt automatiserad process.

Är automatiserat individuellt beslutsfattande tillåtet?

Huvudregeln är att automatiserade beslut är förbjudna. Det finns dock undantag. Automatiserat, individuellt beslutsfattande kan vara tillåtet om

  • det är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvariga

  • det är tillåtet enligt lag som fastställer lämpliga skyddsåtgärder

  • den registrerade har gett sitt uttryckliga samtycke

Det framgår inte av GDPR vad som krävs för att samtycket ska vara uttryckligt, men formuleringen talar för att det krävs en uttrycklig viljeförklaring från den registrerade.

Vad måste den personuppgiftsansvariga informera om?

Vid all behandling av personuppgifter har den personuppgiftsansvariga en omfattande skyldighet att lämna information till den registrerade om personuppgiftsbehandlingen.

Om det är fråga om ett automatiserat, individuellt beslutsfattande har den registrerade dessutom rätt att få information om att det sker ett automatiserat individuellt beslutsfattande, och en förklaring till det automatiserade beslut som fattas. Den personuppgiftsansvariga ska då lämna meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av personuppgiftsbehandlingen.

Om en AI-modell har använts för att fatta ett automatiserat, individuellt beslut måste den personuppgiftsansvariga lämna så mycket information att den registrerade får en förklaring till hur AI-modellen har kommit fram till ett visst resultat och vad den registrerade behöver göra för att beslutet ska ändras. Det behöver inte innebära att den svarta lådan måste öppnas, men att beslutet ska förklaras så att den registrerade kan tillvarata sina rättigheter.

Senast uppdaterad: 27 maj 2026
Sidans etiketter Utveckling och innovation, AI