Profilering

Profilering er automatiseret behandling af persondata, der bruges til at vurdere personlige aspekter som praeferencer, adfaerd eller palidelighed. GDPR stiller saerlige krav til profilering og giver den registrerede ret til indsigelse og menneskelig indgriben.

Tilbage til ordbog

Hvad er profilering?

Profilering er defineret i GDPR artikel 4, nr. 4 som enhver form for automatiseret behandling af persondata, der bruges til at vurdere visse personlige aspekter vedroerende en fysisk person. Det omfatter analyse af eller forudsigelse om:

Arbejdsindsats og oekonomisk situation
Helbred og personlige praeferencer
Interesser og palidelighed
Adfaerd, placering og bevaegelser

Profilering er mere udbredt, end mange tror. Nyhedsbreve, der tilpasses efter klikadfaerd, kreditvurderinger baseret pa transaktionsdata og malrettet annoncering er alle former for profilering.

Profilering og automatiske afgoerelser

GDPR artikel 22 regulerer automatiske afgoerelser, herunder afgoerelser baseret pa profilering. Artikel 22 forbyder som udgangspunkt afgoerelser, der udelukkende traeffes automatisk, og som har retsvirkning for eller pa lignende vis beroerer den registrerede vaesentligt.

Eksempler pa automatiske afgoerelser med retsvirkning:

Automatisk afvisning af en laneansogning baseret pa kreditscoring
Automatisk afvisning af en jobansogning baseret pa algoritmer
Automatisk prisfastsaettelse baseret pa personprofil

Automatiske afgoerelser er kun tilladt, hvis:

Det er noedvendigt for at indga eller opfylde en kontrakt
Det er hjemlet i EU-ret eller national ret
Det er baseret pa den registreredes udtrykkelige samtykke

I alle tilfaelde har den registrerede ret til menneskelig indgriben, til at fremsaette sit synspunkt og til at anfaegte afgoerelser.

GDPR-krav til profilering

Profilering kraever et gyldigt behandlingsgrundlag. De mest anvendte er samtykke og legitim interesse. Derudover skal du:

Informere den registrerede om profileringen via din privatlivspolitik (oplysningspligt)
Respektere den registreredes ret til indsigelse (artikel 21)
Ved direkte markedsfoering: ophoere straks ved indsigelse (ubetinget ret)
Foretage en konsekvensanalyse (DPIA), hvis profileringen er systematisk og omfattende
Ikke basere profilering pa foelsomme personoplysninger, medmindre en artikel 9-undtagelse gaelder

Profilering af boern kraever saerlig forsigtighed. GDPR-fortalens betragtning 71 angiver, at automatiske afgoerelser ikke boer vedroere boern.

Profilering i praksis

For at handtere profilering korrekt:

Kortlaeg, hvor i din organisation der foretages profilering
Dokumenter hvert tilfaelde i din fortegnelse med formal og behandlingsgrundlag
Implementer mekanismer til at handtere indsigelser
Soerg for menneskelig kontrol ved automatiske afgoerelser
Anvend dataminimering: brug kun de data, der er noedvendige for profileringen

Vaer opmaerksom pa, at cookiebaseret profilering typisk kraever samtykke under ePrivacy-reglerne (cookielovgivningen), ud over GDPR-grundlaget.

Ofte stillede spørgsmål om profilering

Hvad er profilering i GDPR?

Profilering er enhver form for automatiseret behandling af persondata, der bruges til at vurdere personlige aspekter som arbejdsindsats, oekonomisk situation, helbred, personlige praeferencer, interesser, palidelighed, adfaerd, placering eller bevaegelser.

Hvornar er profilering tilladt?

Profilering er tilladt, nar du har et gyldigt behandlingsgrundlag (fx samtykke eller legitim interesse). Profilering, der foerer til automatiske afgoerelser med retsvirkning, kraever enten udtrykkeligt samtykke, at det er noedvendigt for en kontrakt, eller at det er hjemlet i lov.

Kan den registrerede goere indsigelse mod profilering?

Ja. GDPR artikel 21 giver den registrerede ret til at goere indsigelse mod profilering baseret pa legitim interesse. Ved direkte markedsfoering er retten ubetinget. Ved profilering med automatiske afgoerelser har den registrerede ret til menneskelig indgriben.

Hvad er forskellen pa profilering og automatiske afgoerelser?

Profilering er analysen af persondata for at vurdere personlige aspekter. Automatiske afgoerelser er beslutninger, der traeffes uden menneskelig involvering. De to kan kombineres, men behoever ikke. Du kan profilere uden at traeffe automatiske afgoerelser, og automatiske afgoerelser behoever ikke baseres pa profilering.