EU-domstolen fastställer vad som utgör ett automatiserat beslutsfattande enligt GDPR

Inledning och slutsats

EU-domstolen har i mål C-634/21 (OQ mot Land Hessen) fastställt att om ett kreditvärderingsföretag överför en kreditvärdering till en tredje part (till exempel en bank) och den tredje parten är starkt beroende av kreditvärderingen för att upprätta, genomföra eller avsluta ett avtalsförhållande (till exempel bevilja ett lån), utgör den behandling som används för att ta fram kreditvärderingen ett automatiserat individuellt beslutsfattande enligt artikel 22 i dataskyddsförordningen (”GDPR”).

Detta är ett intressant beslut som kan komma att få betydande konsekvenser för automatiserat och algoritmiskt beslutsfattande – inte minst vid användning av AI-teknik.

Bakgrund

Målet hänsköts ursprungligen till EU-domstolen av förvaltningsdomstolen i Wiesbaden i Tyskland efter ett överklagande från en registrerad som nekats ett lån av sin bank på grund av sin negativa kreditvärdighet.

Den negativa kreditvärdigheten hade tagits fram av SCHUFA (ett tyskt kreditupplysningsföretag) och lämnats till den registrerades bank som en del av den registrerades låneansökningsförfarande. Efter det negativa lånebeslutet begärde den registrerade att SCHUFA skulle ge tillgång till de personuppgifter som används för att ta fram hennes kreditvärdering och att radera vissa personuppgifter som SCHUFA hade om henne och som påstods vara felaktiga.

SCHUFA informerade sedermera den registrerade om hennes kreditvärdighet och i stora drag hur den beräknades. Med hänvisning till affärssekretess vägrade SCHUFA dock att avslöja vilka faktorer som beaktats vid framtagandet av den registrerades kreditvärdighet och hur dessa viktats. SCHUFA uppgav vidare att det var dess avtalspartner (i det här fallet den registrerades bank) som faktiskt fattade besluten på grundval av de kreditvärderingar som SCHUFA tog fram åt dem.

Utredningen

Enligt artikel 22 i GDPR har registrerade rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling av personuppgifter, inbegripet profilering, som har rättsliga eller liknande betydande påverkan för dem. Vidare har registrerade också rätt att få och självmant begära ut meningsfull information om logiken bakom det automatiserade beslutsfattandet, samt betydelsen och de förutsedda följderna av behandlingen av deras personuppgifter (se artiklarna 13(f), 14(g) och 15(h) i GDPR).

Mot bakgrund av ovanstående fann EU-domstolen att den kreditvärdering som SCHUFA tagit fram i själva verket var ett beslut i sig som hade betydande påverkan för den registrerade. Detta beror på att den negativa kreditvärdighet som SCHUFA tagit fram i slutändan avgjorde om den registrerade skulle beviljas lånet eller inte.

Vidare uttalade EU-domstolen att en annan bedömning skulle leda till en lucka i det rättsliga skydd som den registrerade åtnjuter enligt GDPR. Om SCHUFA inte ansågs ägna sig åt automatiserat individuellt beslutsfattande skulle den registrerade nämligen inte kunna hävda sina rättigheter gentemot SCHUFA eftersom det inte skulle vara den som fattade beslutet. Vidare skulle banken inte kunna tillhandahålla information om beslutet till den registrerade eftersom endast SCHUFA har tillgång till informationen.

Vilka konsekvenser kan EU-domstolens beslut få?

EU-domstolens avgörande är viktigt eftersom det, utöver den omedelbara relevansen för dem som arbetar med att ta fram eller behandla kreditvärdering, också kan få större konsekvenser när organisationer i allt större utsträckning ingår avtal med tjänsteleverantörer i syfte att implementera automatiserat och/eller AI-baserat beslutsfattande. Beslutet innebär att tjänsteleverantörer som tillhandahåller automatiska beräkningar eller processer till sina kunder för att hjälpa dem att fatta beslut som har en rättslig eller liknande betydande påverkan för registrerade kan omfattas av artikel 22 i GDPR även om tjänsteleverantörerna inte fattar de slutliga besluten själva. Leverantörer av dessa typer av tjänster måste således se till att de, när så krävs, är redo att tillgodose de registrerades rättigheter.

Denna artikel är skriven av Associate Petri Dahlström.