Är kreditbedömning automatiserat beslutsfattande enligt GDPR?
– Mål för prövning av EU-domstolen
GDPR innehåller en principiell rätt för dig som individ att inte bli föremål för automatiserat beslutsfattande innefattande profilering. Detta förbud har varit en del av svensk – och europeisk – rätt sedan 1990-talet men har i praktiken varit teoretiskt med perifer påverkan på hur data behandlas. Detta kan dock komma att ändras genom målet SCHUFA Holdings som inväntar dom i EU-domstolen. Målet tar sikte på vad som är automatiserat beslutsfattande i kontexten kreditgivning och kan få långtgående konsekvenser för såväl kreditupplysningsverksamhet som för lån- och kreditgivare. Det är första gången som högsta instans prövar vad som är ett automatiserat beslutsfattande. FCG har gjort en djupdykning för att analysera vad EU-domstolen ska pröva.
Bakgrund – vad har hänt?
Målet tar sikte på ett kreditomdöme, d.v.s. en riskprognos för hur stor sannolikheten är att en låntagare kan få betalningsproblem. Ett kreditomdöme baseras typiskt sett både på information om låntagaren (till exempel taxerad inkomst och betalningsanmärkningar) och statistik. Denna kreditbedömning utmynnar i en kreditprognos i form av ett värde (”score”) och/eller en kreditrisk avseende en persons betalningsförmåga.
Kreditbedömningen tas fram av ett kreditupplysningsföretag och delas med en potentiell långivare. Den närmare metoden hur kreditprognosen tagits fram är som regel inget som delas med vare sig långivare eller den person som är föremål för kreditbedömningen. Långivaren har kreditbedömningen som grund till beslut om en låne- eller kreditansökan ska godkännas eller avslås. Typiskt sett ligger även annan information till grund för långivarens beslut, till exempel kreditrisknivåer och statistik om kunders generella återbetalningsgrad.
Kreditbedömningen regleras genom GDPR – eftersom kreditbedömning medför att personuppgifter behandlas – samt kompletteras av den svenska kreditupplysningslagen (förkortad ”KUL”). Motsvarande kompletterande lagstiftning likt kreditupplysningslagen finns i andra medlemsstater i EU. Vad som är en personuppgift i sammanhanget är långtgående, till exempel bedöms som regel taxerad inkomst, betalningsanmärkningar och dylik information utgöra personuppgifter.
Det finns alltid en personuppgiftsansvarig (data controller) när personuppgifter behandlas. Det är kreditupplysningsföretaget som är personuppgiftsansvarig för behandling av personuppgifter för ändamålet att genomföra en kreditbedömning. En långivare är i sin tur personuppgiftsansvarig för den behandling av personuppgifter som denna genomför för att pröva en låneansökan.
Den personuppgiftsansvarige är, som begreppet antyder, ansvarig för att behandling av personuppgifter är förenlig med GDPR. Det medför även ett krav på att den personuppgiftsansvarige ska kunna visa på regelefterlevnad med GDPR, d.v.s. ett krav på att kunna visa compliance.
Vad är det som EU-domstolen ska pröva?
GDPR innehåller en generell rätt för en person att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripen profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. För enkelhetens skull benämner vi detta härefter som ett ”automatiserat beslut” (förkortas ofta ”ADM” från engelskans automated decision making).
För att ett mål ska tas upp till prövning av EU-domstolen krävs att en domstol i en medlemsstat hänskjutit en eller flera frågor till EU-domstolen i form av en begäran om ett förhandsavgörande.
EU-domstolens uppdrag är att besvara de frågor som den nationella domstolen formulerat om hur lagen, i detta fall GDPR, ska tolkas. I det aktuella fallet är det en tysk domstol som hänskjutit två frågor till EU-domstolen för prövning.
Det frågorna sammanfattningsvis – och något förenklat – tar sikte på:
- är kreditbedömningen ett automatiserat beslut, och
- om det inte är ett automatiserat beslut – föreligger det enligt GDPR hinder i nationell rätt (till exempel kreditupplysningslagen) att uppställa ytterligare villkor för kreditbedömning.
I denna artikel fokuserar vi på den första frågan; d.v.s. om kreditbedömningen är ett automatiserat beslut eller inte.
Vi måste inledningsvis konstatera att den tyska domstolen, även med juridiska mått mätt, har formulerat frågorna på ett komplicerat sätt med ett anmärkningsvärt antal bisatser. Det minskar förutsägbarheten eftersom det ger EU-domstolen ett beaktansvärt utrymme att tolka frågorna. Det som dock är klart är att den tyska domstolen har ställt sina frågor mot bakgrund av både kreditupplysningsföretagets kreditbedömningsprocess och långivarens process för att bedöma en låne- eller kreditansökan. Den tyska domstolen ser med andra ord till processen från ax till limpa;
från insamling av information från olika källor till sammanställning av kreditprognosen som därefter delas och används som ett beslutsunderlag av långivaren. Det innebär även att EU-domstolen kan komma att beakta hur långivaren – en tredje part till kreditupplysningsföretaget – avser att använda kreditprognosen.
Som vi tidigare diskuterat samlar kreditupplysningsföretaget in information om långivaren samt generell information om statistik. Det är denna information som i målet är underlag för kreditbedömningen. För att kreditbedömningen ska utgöra ett automatiserat beslut så bottnar det ner till två frågor: (1) vad är ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, och (2) vad innebär det att beslutet ska ha rättsliga följder eller på liknande sätt i betydande grad påverka honom eller henne?
Vad är ett automatiserat beslut och när inbegriper det profilering?
Beaktandeskälen till GDPR nämner uttryckligen att avslag på en kreditansökan som sker helt automatiskt är ett automatiserat beslutsfattande. Beaktandeskälen tar dock sikte på långivarens prövning. Fokus för detta mål är i första ledet kreditupplysningsföretagets kreditbedömning. Samma beaktandeskäl preciserar att bedömningen av en persons personliga aspekter för att förutse dennes ekonomiska situation kan utgöra profilering. Därför är det nödvändigt att redogöra för skillnaden mellan automatiserat beslutsfattande och profilering.
Profilering har en legaldefinition i GDPR (vilket begreppet ”automatiserat beslutsfattande” saknar). Profilering medför inte ett beslut per se utan är en automatiserad bedömning för att förutse eller analysera personliga aspekter så som en persons ekonomiska situation, pålitlighet i olika sammanhang, personliga preferenser, hälsa, med mera. Annorlunda uttryckt kan profilering användas för att skapa en profil om en person. När GDPR stadgar en rätt att inte bli föremål för automatiserat beslut, inbegripet profilering, innebär denna bestämmelse sannolikt inte en rätt att inte bli föremål för profilering per se. Det bestämmelsen sannolikt tar sikte på är när automatiserade beslut genomförs till exempel på grundval av profilering.
Det kan i teorin framstå som en glasklar distinktion mellan profilering och ett automatiserat beslut på grundval av denna profilering. I praktiken är distinktionen mellan ett automatiserat beslut och profilering inte alltid svart eller vit. Kom ihåg att detta mål prövas i sammanhanget kreditbedömningsprocessen som en helhet. Hur distinktionen mellan automatiserade beslut och profilering ska bedömas kommer därför sannolikt att vara en av huvudfrågorna för EU-domstolen att bedöma.
Vad innebär det att ett beslut har en betydande grad av påverkan?
Den tyska domstolen bekräftar i sitt beslut att begära förhandstillstånd från EU-domstolen att den dominerande tolkningen är att ett kreditupplysningsföretags kreditbedömning inte bedöms vara ett beslut som har rättsliga följder eller på liknande sätt i betydande grad påverka honom eller henne. Den tyska domstolen är dock inte övertygad om denna tolkning.
Skälen för tvekan är att kreditprognosen har en betydande påverkan på långivarens beslut om en låne- eller kreditansökan ska godkännas eller nekas. Det faktum att en låntagare nekas ett lån eller en kredit kan utgöra ett faktum som i betydande grad har påverkan på låntagaren. Mot den bakgrunden resonerar även den tyska domstolen kring det faktum att en viss person tilldelats en viss kreditprognos kan utgöra ett ”beslut”, d.v.s. att det rättsligt sker ett beslut om att tilldela en person en kreditprognos. Gränsen mellan vad som är ett automatiserat beslut och profilering är som synes inte alltid glasklar.
Det bör i sammanhanget tilläggas att rättsläget även är oklart i den delen som handlar om huruvida påverkan behöver vara negativ för den person som beslutet avser. De europeiska tillsynsmyndigheterna har gemensamt inte tagit ställning i denna fråga. Det är därför potentiellt möjligt att även beslut som är positiva – till exempel att en låneansökan beviljas – kan falla in under GDPR:s bestämmelse om automatiserat beslutsfattande.
Därtill beaktar den tyska domstolen personers rätt till information om hur deras personuppgifter behandlas. En person som blir föremål för ett automatiserat beslut har en rätt att ta del av en sammanfattande och pedagogisk text som förklarar logiken och de möjliga följderna av ett automatiserat beslut. Den tyska domstolen flaggar för att den ser ett problem här. Skälen är att det är långivaren som i slutändan fattar ett beslut på grundval av bland annat kreditprognosen. Men långivaren kan inte lämna någon information om hur kreditprognosen genomförts och, potentiellt, beslutats. Förklaringen till att långivaren inte kan lämna denna information är att det är en företagshemlighet för kreditupplysningsföretaget hur denna kreditprognos tas fram. Den tyska domstolen ser därför en risk att personer kan gå miste om den information som de har rätt till. Det är sannolikt att EU-domstolen fångar upp denna risk som den tyska domstolen flaggar för. Det är svårt att sia om möjliga konsekvenser i denna del men en möjlig konsekvens är att långivarens informationsplikt konkretiseras till att innefatta mer omfattande information om hur kreditprognosen tagits fram.
Finns det ett principiellt förbud mot automatiserat beslutsfattande?
En tredje fråga för EU-domstolen att sätta tänderna i är hur rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling ska tolkas. Ska det tolkas som ett principiellt förbud mot automatiserad behandling eller ska det tolkas som att personen som är föremål för beslutet har rätt att invända mot beslutet och begära en manuell prövning?
De europeiska tillsynsmyndigheternas samarbetsorgan – och till synes den tyska domstolen – utgår från tolkningen att det råder ett principiellt förbud mot automatiserad behandling. Utifrån förarbetena till GDPR framträder dock en bild av att syftet med regleringen har varit att bestämmelsen ska ses som en rätt att invända mot automatiserat beslutsfattande. Bestämmelsens ordalydelse är tvetydig och det finns tveklöst goda argument för båda tolkningarna.
Men varför är detta viktigt? Förklaringen är att en huvudregel ska tolkas extensivt (brett) medan undantag ska tolkas restriktivt (smalare). Om bestämmelsen tolkas som ett principiellt förbud medför detta därför att utrymmet för automatiserat beslutfattande potentiellt kan krympa.
Slutsats – vad bör man göra?
Det är först viktigt att understryka att man inte bör dra för långtgående slutsatser av den tyska domstolens beslut om förhandsavgörande. Eftersom detta är den första prövningen av automatiserade beslut på grundval av personuppgifter är osäkerheten i rättsläget hög. Det finns därför en risk med för långtgående åtgärder i nuläget.
Med det sagt finns det potential i att vara proaktiv, särskilt om man är en organisation med mycket automatiserade beslut för kreditgivning. Genom att säkerställa att den grundläggande dokumentationen för organisationens processer finns på plats utifrån GDPR behöver verksamheten, oavsett vad
EU-domstolen kommer fram till, inte börja på ”ruta ett” när avgörandet väl kommer. Det sparar tid i ett senare led och medför även att organisationen får ett större manöverutrymme att hantera eventuella nya risker.
Om EU-domstolen kommer fram till slutsatsen att kreditbedömning utgör automatiserat beslutsfattande kommer det i huvudsak att medföra tre konsekvenser. För det första medför det en rätt i lag för personer att bestrida det automatiserade beslutet samt uttrycka sin åsikt. Det medför en förpliktelse för den som är ansvarig för det automatiserade att manuellt ompröva beslutet, med andra ord är det en människa som ska ompröva beslutet och ha mandat att ändra beslutet i sak. Att en rätt till omprövning av kreditbedömningen skulle vara kostsamt är knappast en underdrift.
För det andra medför det långtgående informationskrav. Den ansvarige ska på ett pedagogiskt och tydligt sätt förklara den bakomliggande logiken samt de möjliga konsekvenserna till beslutet. Att lämna sådan information – särskilt om det finns flera automatiserade beslut – är inte enkelt.
För det tredje kan det tilläggas att den som blir föremål för automatiserat beslutsfattande som huvudregel har rätt att invända mot behandlingen (d.v.s. en separat rätt i förhållande till omprövning). Genom kreditupplysningslagen är dock inte rätten till invändning tillämplig vid kreditbedömning. Om automatiserande beslutsfattande utvidgas medför det sannolikt, för andra typer av beslut, att rätten att invända mot behandling i praktiken kommer att få en större betydelse.
Vi på FCG har lång erfarenhet av automatiserade beslutsprocesser och du är alltid välkommen att kontakta oss om du har några frågor.