Rétt eins og vélvæðing einkenndi iðnbyltinguna sem hófst í lok 18. aldar má segja að það sem einkenni hina svonefndu fjórðu iðnbylting sé sjálfvirknivæðing. Lítill vafi leikur á því að helsta keppikeflið á markaði í dag er að finna út hvernig megi sjálfvirknivæða viðskiptaferla, þannig að vöru og þjónustu verði komið fljótar og hagkvæmar til viðskiptavina. Fyrirmyndirnar eru alls staðar, allt frá leigubílaþjónustu til bankalána og annarrar fjármálaþjónustu, þ.m.t. fjárfestingaráðgjöf. Og í ansi mörgum geirum má búast við því að þau fyrirtæki sem skilja og finna leiðirnar til sjálfvirknivæðingar séu þau fyrirtæki sem muni lifa þessa byltingu af.

Sjálfvirk ákvarðanataka

Í nýju persónuverndarreglugerðinni, sem brátt verður innleidd í íslenska löggjöf, er fjallað um svonefnda sjálfvirka ákvarðanatöku, það er að segja ákvarðanir sem teknar eru af tölvum. Rauði þráðurinn í þeim ákvæðum, sem er að finna í 22. gr. reglugerðarinnar, er að vernda rétt þeirra einstaklinga sem slík ákvörðun er tekin um; og raunar að meginstefnu til að banna slíkar ákvarðanir ef þær snúa að einhverju sem skipta einstaklinginn verulegu máli. Nánar tiltekið segir í 1. mgr. 22. gr. að einstaklingur skuli eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hafi réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti.

Í orðalagi ákvæðisins felst að það er ekki hvaða ákvörðun sem er sem slíkar hömlur eru settar gagnvart; annaðhvort þarf ákvörðunin að hafa réttaráhrif eða snerta einstaklinginn á sambærilegan hátt að verulegu leyti. Almennt eru réttaráhrif í skilningi 22. gr. reglugerðarinnar bundin við ákvörðun sem hefur áhrif á lagaleg réttindi einstaklingsins, þ.m.t. áhrif á réttindi á grundvelli samnings, svo sem riftun hans. Leiða má að því líkum að með réttaráhrifum sé því átt við ákvörðun sem valdi breytingu á lagalegum réttindum eða skyldum einstaklingsins.

Í leiðbeiningum svonefnds 29. gr. starfshóps Evrópusambandsins um gerð persónusniðs og sjálfvirka ákvarðanatöku (útg. dags. 6. febrúar 2018) kemur fram að reglugerðin skilgreini ekki það sem snerti einstaklinginn á sambærilegan hátt að verulegu leyti og ákvörðun sem hafi réttaráhrif gerir. Hins vegar eigi orðalagið að gera það ljóst að einungis alvarleg, mikil áhrif (e. serious impactful effects) falli undir 22. gr. reglugerðarinnar. Áhrifin (e. significance) verða að vera sambærileg og þegar ákvörðun hefur réttaráhrif.

Ákvarðanir falli undir reglugerð

Til að ákvörðun falli undir að hafa slík áhrif sem hér skipta máli þarf hún til að mynda að hafa veruleg áhrif á kringumstæður, hegðun eða val einstaklingsins. Í leiðbeiningum 29. gr. starfshópsins segir að erfitt sé að segja nákvæmlega fyrir um hvað geti fallið hér undir, en ákvörðun sem gæti fallið hér undir væri ákvörðun sem hefur áhrif á fjárhagslegar kringumstæður einstaklingsins, svo sem lánstraust hans. Þá má nefna að í formálagrein 71 í reglugerðinni kemur fram að sjálfvirk neitun lánsumsóknar sé dæmigerð ákvörðun sem myndi falla undir að vera ákvörðun sem hafi sambærileg áhrif og ákvörðun sem hefur réttaráhrif.

Þetta þurfa íslensk fjármálafyrirtæki að hafa í huga, og bæði þau og öll önnur íslensk fyrirtæki sem huga að sjálfvirknivæðingu sinna viðskiptaferla þurfa að huga að því hvort þær ákvarðanir sem teknar séuí þeim ferlum falli undir reglugerðina. Og ef svo er þurfa þau að gæta að því hvort yfirleitt sé heimilt að taka slíka ákvörðun. Þannig veitir reglugerðin aðeins þrjár afmarkaðar heimildir til sjálfvirkrar ákvarðanatöku, það er að segja ef (1) ákvörðunin er forsenda þess að unnt sé að gera eða framkvæma samning, (2) ef ákvörðunin er sérstaklega heimiluð í íslenskum lögum, eða þegar (3) ákvörðunin byggist á afdráttarlausu samþykki einstaklingsins.

Fyrsta heimildin er fyrirsjáanlega ekki með mikið notagildi vegna áskilnaðarins um að ákvörðunin sé beinlínis forsenda þess að það sé unnt að gera eða framkvæma samning. Hins vegar má búast við að flest fyrirtæki geti reitt sig á þriðju heimildina, samþykki einstaklingsins, en þá þarf að huga að því að ströng viðmið gilda um það hvernig slíks samþykkis sé aflað. Þannig er tiltekin upplýsingagjöf til einstaklings nauðsynleg forsenda þess að slíkt samþykki haldi. Í leiðbeiningum 29. gr. starfshópsins kemur til að mynda fram að í upplýsingagjöf eigi ekki bara að koma fram þeir þættir sem notaðir séu til ákvörðunar heldur einnig vægi hvers þáttar.

Þá þarf að hafa í huga að jafnvel þó heimild til sjálfvirkrar ákvarðanatöku sé fyrir hendi, svo sem samþykki einstaklingsins, þá er reglugerðinni einnig ætlað að tryggja að einstaklingurinn eigi rétt til þess að manneskja endurskoði ákvörðunina. Með því er ekki átt við að einstaklingurinn eigi rétt til að ganga út úr samningi sem hann hefur þegar undirgengist, heldur á hann til dæmis rétt á því að fá endurskoðun á höfnun lánsumsóknar.

Í þessu felst viðurkenning á því að sjálfvirkar ákvarðanir geta verið rangar – forritin og gagnasöfnin að baki þeim geta verið rangar og einstaklingur sem með réttu ætti að uppfylla öll skilyrði fær ranga niðurstöðu. Við því þarf einstaklingurinn að geta brugðist. Að þessu þarf einnig að huga í upplýsingagjöfinni til einstaklingsins þegar sjálfvirka ákvarðanatakan á sér stað. Þannig þarf að upplýsa einstaklinginn að hann eigi þennan rétt til mannlegrar íhlutunar, og æskilegt er að einstaklingurinn sé upplýstur um við hvern hann eigi að hafa samband til að fá endurskoðun á ákvörðuninni og að einhver tímarammi sé gefinn upp vegna þeirrar endurskoðunar.

Sektarheimildir

Mikilvægt er að íslensk fyrirtæki sem hafa eða eru að sjálfvirknivæða ýmsa ákvarðanatöku hjá sér hugi að þessum reglum og er ekki úr vegi að minna í lokin á þær háu sektarheimildir sem reglugerðin kveður á um vegna brota gegn henni. Brot gegn 22. gr. reglugerðarinnar teljast alvarleg brot í skilningi hennar, og miðað við fyrirliggjandi frumvarpsdrög geta stjórnvaldssektir vegna brota á ákvæðinu numið frá 100 þúsund króna til 2,4 milljarða króna, eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Höfundur er lögmaður og einn eigenda LOGOS.