get_queried_object(); $id = $cu->ID; ?>
Tobias Judin

Oppdatert: Artikkel 29-gruppen har vedtatt endelige retningslinjer om automatiserte avgjørelser. Retningslinjene bekrefter at artikkel 22 innebærer et forbud. Les retningslinjene på denne siden.

Artikkel 22 i personvernforordningen diskuteres for tiden hyppig i personvernkretser i Europa. Bestemmelsen sier at den enkelte har rett til ikke å bli utsatt for automatiserte avgjørelser. Hva betyr det egentlig? Skal regelen forstås som et forbud eller som en innsigelsesrett?

Artikkel 29-gruppen, som består av datatilsynene i EØS og som utsteder retningslinjer og tolkninger, har foreløpig inntatt standpunktet at artikkel 22 må tolkes som et forbud. Det vil si at det ikke er lov med automatiserte avgjørelser med mindre et av unntakene i artikkel 22 tredje ledd kommer til anvendelse.

Mange er uenige i denne tolkningen. Noen tenker til og med kanskje at uttalelsen til Artikkel 29-gruppen er en «black box» der det er vanskelig å få innsyn i hva man har tenkt – ikke helt ulikt algoritmene som styrer automatiserte avgjørelser.

Fordi jeg har vært med å skrive uttalelsen (og nylig diskuterte den med representanter fra bransjen på en workshop arrangert av CIPL, der det kom fram mange, godt begrunnede motforestillinger), tenkte jeg å skrive litt om hva vi har tenkt. Særlig tenkte jeg å illustrere hvilke juridiske utfordringer det medfører å tolke artikkel 22 som en rett til å si nei.

Forhistorien forvirrer

I det opprinnelige lovutkastet var artikkel 22 formulert annerledes. Det var klart at det skulle være et forbud.

Hvordan skal dette forstås? På én side kan lovutkastet si noe om hva som var meningen med bestemmelsen, og lovgivers opprinnelige intensjon er en viktig tolkningsfaktor. På en annen side valgte lovgiver å endre ordlyden. Dette har av mange blitt tolket som vilje til å gå bort fra den opprinnelige betydningen.

Problemet i annet ledd

Når vi har tolket bestemmelsen som et forbud, er det ikke fordi vi mener at det bør være slik eller sånn. I stedet har vi forøkt ulike juridiske tolkninger og brukt juridisk metode for å avgjøre hvilken som virker riktigst.

La oss si at artikkel 22 tolkes som en innsigelsesrett – altså at man har rett til å protestere mot at det foretas en automatisert avgjørelse om en selv. Man ønsker altså en manuell avgjørelse der en fysisk person påvirker utfallet.

Artikkel 22 bokstav c sier at det likevel er lov å utføre en helautomatisert avgjørelse dersom personen har samtykket til det. Nå ser du kanskje hvor jeg vil hen. Hvordan kan en person både samtykke og protestere til noe? Det går vanligvis ikke an, og i alle fall gjør det ikke det etter GDPR.

Bygrave og Mendoza har bygget på tilsvarende tankegang i sin artikkel «The Right not to be Subject to Automated Decisions based on Profiling» (2017). Deres tolkning tar utgangspunkt i bokstav a, som sier at en helautomatisk avgjørelse likevel kan finne sted dersom det er nødvendig for avtalen. For at unntaket skal gjelde, må imidlertid den behandlingsansvarlige iverksette visse tiltak, som muligheten til menneskelig inngripen. Er det ikke nettopp det personen sa at hen ville ha da hen protesterte? Dermed blir unntaket litt meningsløst, for den behandlingsansvarlige må uansett tilby menneskelig inngripen hvis en person protester.

Dersom artikkel 22 tolkes som en rett til å protestere, vil annet ledd bokstav a og c – og dermed tredje ledd – miste sin mening.

Spor i ord

Det finnes også andre ting i forordningens ordlyd som tilsier at artikkel 22 skal tolkes som et forbud. For eksempel sier fortalepunkt 71:

[Automatiserte agjørelser] bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke.

Dette antyder at slike avgjørelser ikke er tillatt i andre tilfeller. Selv om fortalen ikke er rettslig bindende på samme måte som artiklene, er den god tolkningshjelp (litt som norske forarbeider).

Hvis vi sammenlikner artikkel 22 med artikkel 21 om innsigelsesrett, finner vi store forskjeller. Dersom EU mente at artikkel 22 skulle være en innsigelsesrett, er det påfallende at de valgte såpass forskjellige formuleringer fra de vi finner i artikkel 21. Legg også merke til at artikkel 21 snakker om «den behandlingsansvarlige» (fordi regelen handler om den registrertes forhold til og rettigheter ovenfor en bestemt behandlingsansvarlig), mens artikkel 22 snakker om «en behandlingsansvarlig (som tyder på at det er snakk om en generell regel og ikke en rettighet i det enkelte tilfellet).

Systematikk

Mange har pekt på at artikkel 22 står i GDPR kapittel III om den registrertes rettigheter. De mener at systematikken tilsier at artikkel 22 må tolkes som en rettighet (til å si nei) og ikke en plikt (forbud).

Kapittel III inneholder også andre bestemmelser som egentlig er plikter og ikke rettigheter som kan påberopes av den enkelte. Særlig gjelder dette artikkel 12–14 om informasjonsplikt. Desuten er artikkel 21 og 22 plassert i et underkapittel som heter «Innsigelsesrett og automatiserte avgjørelser». Dette tyder på at det er snakk om to ulike bestemmelser og ikke to former for innsigelsesrett.

Hva skjer fremover?

Artikkel 29-gruppens uttalelse om profilering og autiomatiserte avgjørelser lå ute på offentlig høring frem til 28. november. Vi skal nå gå gjennom alle innspillene som har kommet inn og foreta nødvendige justeringer i teksten. Det har helt sikkert kommet inn innspill og forslag som vi ikke har tenkt på og som vi må ta stilling til. Det betyr at det vil vedtas en endelig uttalelse over nyttår.

Artikkel 29-gruppen jobber med mange uttalelser. Retningslinjer om samtykke og informasjon er rett rundt hjørnet. Både foreløpige uttalelser til høring og endelig vedtatte dokumenter finnes på denne siden.