Är automatiserat beslutsfattande inom socialtjänsten förenligt med GDPR?
I Trelleborgs kommun är det automatiserade beslutsfattandet idag en verklighet. Inom kommunens socialtjänst använder man en AI-lösning för att besluta om ekonomiskt bistånd. Men är det förenligt med GDPR? Här benar vi ut vad den nya lagstiftningen egentligen säger.
Vad är automatiserat beslutsfattande och hur definieras det i GDPR?
Automatiserat beslutsfattande innebär att organisationer med hjälp av AI-teknik (artificiell intelligens) delegerar beslutsfattande till en rent teknisk process där den enskilde medarbetaren inte behöver vara delaktig.
Automatiserat beslutsfattande definieras inte i GDPR. Däremot behandlar förordningen profilering. Profilering är ett tillvägagångssätt som bygger på en serie statistiska slutsatser. Enligt vägledning från artikel 29-gruppen kan profileringsförfarandet enligt GDPR delas i tre kategorier, där den tredje innebär enbart automatiserad behandling som får rättsliga följder för den registrerade. Detta förfarande kan likställas med den process som en AI-lösning för att ta beslut innebär.
I GDPR finns förbud mot automatiserat beslutsfattande
Utgångspunkten är att GDPR förbjuder automatiserat beslutsfattande om beslutet har rättsliga följder för den behandlade. Förbudet gäller automatiserat beslutsfattande som är helt utan mänsklig inblandning.
Det finns undantag från förbudet
Det finns dock undantag som möjliggör automatiserat beslutsfattande och ett av dessa undantag är att det tillåts i unionsrätt eller nationell rätt. Det innebär att svensk lagstiftning kan upphäva förbudet.
Nya förvaltningslagen antyder ett undantag
Den 1 juli 2018 började en ny förvaltningslag att gälla. I förvaltningslagen finns regler för hur beslut i förvaltningsärenden ska fattas. I den nya lagen står det att beslut kan fattas av en befattningshavare ensam, av flera befattningshavare gemensamt eller automatiserat. Detta skulle kunna vara ett undantag som upphäver förbudet enligt GDPR. Det finns dock inte något fastslaget förhållande mellan förvaltningslagen och GDPR i dagsläget.
Svaret på frågan blir därför att rättsläget fortfarande inte är helt klart. Men det verkar som att Sverige vill upphäva förbudet mot automatiserat beslutsfattande som GDPR innebär genom nationell lagstiftning.
Publicerad 19 mar 2019