​GDPR art. 22 – et forbud eller en rett til å si nei?

​Artikkel 22 i personvernforordningen diskuteres for tiden hyppig i personvernkretser i Europa. Bestemmelsen sier at den enkelte har rett til ikke å bli utsatt for automatiserte avgjørelser. Hva betyr det egentlig? Skal regelen forstås som et forbud eller som en innsigelsesrett?

Artikkel 29-gruppen, som består av datatilsynene i EØS og som utsteder retningslinjer og tolkninger, har foreløpig inntatt standpunktet at artikkel 22 må tolkes som et forbud. Det vil si at det ikke er lov med automatiserte avgjørelser med mindre et av unntakene i artikkel 22 tredje ledd kommer til anvendelse.

Mange er uenige i denne tolkningen. Noen tenker til og med kanskje at uttalelsen til Artikkel 29-gruppen er en «black box» der det er vanskelig å få innsyn i hva man har tenkt – ikke helt ulikt algoritmene som styrer automatiserte avgjørelser.

Fordi jeg har vært med å skrive uttalelsen (og nylig diskuterte den med representanter fra bransjen på en workshop arrangert av CIPL, der det kom fram mange, godt begrunnede motforestillinger), tenkte jeg å skrive litt om hva vi har tenkt. Særlig tenkte jeg å illustrere hvilke juridiske utfordringer det medfører å tolke artikkel 22 som en rett til å si nei.

Forhistorien forvirrer

I det opprinnelige lovutkastet var artikkel 22 formulert annerledes. Det var klart at det skulle være et forbud.

Hvordan skal dette forstås? På én side kan lovutkastet si noe om hva som var meningen med bestemmelsen, og lovgivers opprinnelige intensjon er en viktig tolkningsfaktor. På en annen side valgte lovgiver å endre ordlyden. Dette har av mange blitt tolket som vilje til å gå bort fra den opprinnelige betydningen.

Problemet i annet ledd

Når vi har tolket bestemmelsen som et forbud, er det ikke fordi vi mener at det bør være slik eller sånn. I stedet har vi forøkt ulike juridiske tolkninger og brukt juridisk metode for å avgjøre hvilken som virker riktigst.

La oss si at artikkel 22 tolkes som en innsigelsesrett – altså at man har rett til å protestere mot at det foretas en automatisert avgjørelse om en selv. Man ønsker altså en manuell avgjørelse der en fysisk person påvirker utfallet.

Artikkel 22 bokstav c sier at det likevel er lov å utføre en helautomatisert avgjørelse dersom personen har samtykket til det. Nå ser du kanskje hvor jeg vil hen. Hvordan kan en person både samtykke og protestere til noe? Det går vanligvis ikke an, og i alle fall gjør det ikke det etter GDPR.

Bygrave og Mendoza har bygget på tilsvarende tankegang i sin artikkel «The Right not to be Subject to Automated Decisions based on Profiling» (2017). Deres tolkning tar utgangspunkt i bokstav a, som sier at en helautomatisk avgjørelse likevel kan finne sted dersom det er nødvendig for avtalen. For at unntaket skal gjelde, må imidlertid den behandlingsansvarlige iverksette visse tiltak, som muligheten til menneskelig inngripen. Er det ikke nettopp det personen sa at hen ville ha da hen protesterte? Dermed blir unntaket litt meningsløst, for den behandlingsansvarlige må uansett tilby menneskelig inngripen hvis en person protester.

Dersom artikkel 22 tolkes som en rett til å protestere, vil annet ledd bokstav a og c – og dermed tredje ledd – miste sin mening.

Spor i ord

Det finnes også andre ting i forordningens ordlyd som tilsier at artikkel 22 skal tolkes som et forbud. For eksempel sier fortalepunkt 71:

[Automatiserte agjørelser] bør imidlertid være tillatt når unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, uttrykkelig tillater dette, herunder med henblikk på overvåking og forebygging av bedrageri og skatteunndragelse som utføres i samsvar med forordningene, standardene og anbefalingene fra Unionens institusjoner eller nasjonale tilsynsorganer, og for å sikre at en tjeneste som leveres av den behandlingsansvarlige, er sikker eller pålitelig, eller som er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlingsansvarlig, eller dersom den registrerte har gitt sitt uttrykkelige samtykke.

Dette antyder at slike avgjørelser ikke er tillatt i andre tilfeller. Selv om fortalen ikke er rettslig bindende på samme måte som artiklene, er den god tolkningshjelp (litt som norske forarbeider).

Hvis vi sammenlikner artikkel 22 med artikkel 21 om innsigelsesrett, finner vi store forskjeller. Dersom EU mente at artikkel 22 skulle være en innsigelsesrett, er det påfallende at de valgte såpass forskjellige formuleringer fra de vi finner i artikkel 21. Legg også merke til at artikkel 21 snakker om «den behandlingsansvarlige» (fordi regelen handler om den registrertes forhold til og rettigheter ovenfor en bestemt behandlingsansvarlig), mens artikkel 22 snakker om «en behandlingsansvarlig (som tyder på at det er snakk om en generell regel og ikke en rettighet i det enkelte tilfellet).

Systematikk

Mange har pekt på at artikkel 22 står i GDPR kapittel III om den registrertes rettigheter. De mener at systematikken tilsier at artikkel 22 må tolkes som en rettighet (til å si nei) og ikke en plikt (forbud).

Kapittel III inneholder også andre bestemmelser som egentlig er plikter og ikke rettigheter som kan påberopes av den enkelte. Særlig gjelder dette artikkel 12–14 om informasjonsplikt. Desuten er artikkel 21 og 22 plassert i et underkapittel som heter «Innsigelsesrett og automatiserte avgjørelser». Dette tyder på at det er snakk om to ulike bestemmelser og ikke to former for innsigelsesrett.

Hva skjer fremover?

Artikkel 29-gruppens uttalelse om profilering og autiomatiserte avgjørelser lå ute på offentlig høring frem til 28. november. Vi skal nå gå gjennom alle innspillene som har kommet inn og foreta nødvendige justeringer i teksten. Det har helt sikkert kommet inn innspill og forslag som vi ikke har tenkt på og som vi må ta stilling til. Det betyr at det vil vedtas en endelig uttalelse over nyttår.

Artikkel 29-gruppen jobber med mange uttalelser. Retningslinjer om samtykke og informasjon er rett rundt hjørnet. Både foreløpige uttalelser til høring og endelig vedtatte dokumenter finnes på denne siden.

2 kommentarer

  1. Ikke enig i resonnementet. I så fall vil også alle bestemmelsene i forordningen som oppstiller plikter om å gi informasjon om automatiserte avgjørelser miste enhver betydning.

    Forordningens bestemmelse om automatiserte avgjørelser avviker heller ikke så mye fra artikkel 15 i det gamle direktivet, og praksis rundt det.

    «Artikel 15

    Edb-behandlede individuelle afgørelser

    1. Medlemsstaterne indrømmer enhver person ret til ikke at være undergivet afgørelser, der har retsvirkning for ham, eller som berører ham i væsentlig grad, og som alene er truffet på grundlag af edb-behandling af oplysninger, der er bestemt til at vurdere bestemte personlige forhold, såsom erhvervsevne, kreditværdighed, pålidelighed, adfærd osv.»

    I forarbeidene til personopplysningsloven § 25 står det ikke noe om at det skal leses som et forbud.

    Forordningen skal primært tolkes etter sitt formål, og i lys av prinsippet om fri flyt av opplysninger. Det er ingen tradisjon i EU-retten for å vektlegge forarbeid (som for øvrig er utilgjengelige og ikke offentlige) til EU-regelverk.

    Heldigvis vil det være opp til EU-domstolen å gi en bindende fortolkningsuttalelse om dette når den tid kommer, og ikke tilsynsmyndighetene.

    • Det er selvsagt fullt mulig å være uenig, for ordlyden er tross alt svært vag. Du har helt rett i at EU-domstolen kan komme med avklaring. Derimot har faktisk tilsynsmyndighetene en rolle her også. Etter GDPR art. 70.1.f både kan og skal tilsynsmyndighetene gjennom EDPB (som er det nye navnet på Artikkel 29-gruppen) gi retningslinjer om artikkel 22.

      Når det gjelder de andre kommentarene dine:

      1. Jeg ser ikke helt hvordan informasjonsplikten blir meningsløs. Informasjonen skal gis i de tilfellene automatiserte avgjørelser er tillatt. For eksempel, la oss si at automatiserte avgjørelser skjer med hjemmel i lov eller fordi det er nødvendig for avtale. Informasjon etter art. 13.2.f/14.2.g er da nødvendig for at den registrerte skal vite at automatiserte avgjørelser finner sted. Informasjon er også nødvendig blant annet for at den registrerte skal kunne bestride avgjørelsen etter art. 22.3 på en god måte.

      Sammenlikn for øvrig denne informasjonen med informasjonsplikten etter art. 21.4. Art. 21.4 sier at informasjon om innsigelsesrett etter art. 21 må gis separat fra annen informasjon. Tankegangen er at hvis innsigelsesretten skal være reell, må man informere særlig om at man har denne rettigheten. Det finnes ingen tilsvarende informasjonsplikt om innsigelsesrett etter art. 22, noe som også kan trekke i retning av at art. 22 ikke er en innsigelsesrett.

      2. Det stemmer at art. 15 i personverndirektivet er relevant. Siden dette var et direktiv, var det imidlertid opp til hver enkelt medlemsstat å gi nasjonal lovgivning for å sikre retten i art. 15 – art. 15 gjaldt altså ikke direkte slik GDPR art. 22 gjør. Medlemsstatene implementerte, ut fra hva jeg har forstått, art. 15 på svært ulikt vis, slik at det ikke foreligger en enhetlig, felleseuropeisk forståelse av om art. 15 var et forbud eller en innsigelsesrett. Ulike land har ulike oppfatninger. Norges oppfatning var for eksempel at det var en innsigelsesrett.

      3. Artikkel 29-gruppen har ikke bygget på forarbeider – det er først og fremst de som er uenig i retningslinjene som har pekt på tidligere utkast.

      Det stemmer at forordningen skal tolkes etter sine formål og på bakgrunn av fortalen. Ett av formålene er fri flyt av personopplysninger, som tilsier at alle landene må tolke GDPR likt – ikke nødvendigvis at den ene tolkningen er bedre enn den andre. For øvrig er også bedre vern av personopplysninger et av formålene med forordningen.

      Disse formålene er såpass vage at det er vanskelig å si konkret hvordan de vil påvirke tolkningen av artikkel 22.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.