Justitiekansler Tuomas Pöysti: Det finns behov att föreskriva om FPA:s automatiserade beslutsfattande i lag

Enligt justitiekansler Tuomas Pöysti måste behovet av speciallagstiftning gällande Folkpensionsanstaltens automatiserade beslutsfattande utredas snabbt.

En fungerande och tillräcklig allmän lagstiftning och speciallagstiftning är ett sätt att säkerställa en god förvaltning och kundernas rättsskydd vid automatiserat beslutsfattande och i de automatiserade beslutssystemen. Att öka och utveckla digitaliseringen är ett viktigt mål inom förvaltningen. Den bristfälliga lagstiftningen orsakar dock problem bland annat för att den fördröjer det utvecklingsarbete som hänför sig till digitaliseringen.

Folkpensionsanstalten (FPA) har till uppgift att verkställa den förmånslagstiftning som gäller social trygghet. Samtidigt verkställer FPA den grundläggande rätten till social trygghet i enlighet med grundlagen genom att fatta förvaltningsbeslut som gäller förmåner. Justitiekanslern undersökte på eget initiativ automatiseringen av detta beslutsfattande och intensiteten av användningen av automatisering vid FPA. Av FPA:s redogörelse till justitiekanslern framgår att en del av de beslut som gäller social trygghet är sådana beslut enligt artikel 22 i Europeiska unionens allmänna dataskyddsförordning som enbart grundas på automatiserad behandling av personuppgifter. I sin granskning fokuserade justitiekanslern särskilt på dessa beslut och detta beslutsfattande.

Enligt justitiekanslern ska beslut, beslutsförfaranden och beslutsprocesser som gäller förmåner oavsett sättet att fatta beslut följa grundlagens bestämmelse om rättsskydd samt trygga kundernas rättigheter. FPA:s uppgift som säkerställare av den grundläggande rätten till social trygghet förutsätter att man vid verkställandet av lagstiftningen fäster särskild vikt vid kundernas rättigheter och vid de krav som utgår från deras behov. Redogörelsen gav ingen anledning att misstänka att kundernas rättigheter och rättsskydd inte kan tryggas vid FPA:s automatiserade beslutsfattande. Den allt mer utbredda digitaliseringen och den framåtskridande automatiseringen har dock aktualiserat frågan om hur rättigheterna enligt grundlagens bestämmelse om rättsskydd tillgodoses när automatisering används i förvaltningen och beslutsfattandet.

Enligt justitiekanslern anknyter automatiserat beslutsfattande till okränkbarheten för en individs ställning och människovärde och till tryggandet av påverkansmöjligheterna i en digital omvärld där allt fler frågor som är av betydelse för individen behandlas automatiserat. Tillgodoseendet av de grundläggande fri- och rättigheterna gällande rättsskydd och dataskydd förutsätter att dataskyddet enligt den allmänna dataskyddsförordningen samt en god förvaltning och tillgodoseendet av individens alla rättigheter tryggas i lagstiftning som gäller automatisering och i de datasystem som används. Grundlagens bestämmelser om människovärdets okränkbarhet och om individens friheter och rättigheter samt det allmännas skyldighet att främja individens möjligheter att påverka beslut som gäller honom eller henne själv styr tolkningen av det allmännas skyldigheter när det gäller att genomföra god, människoorienterad förvaltning som betonar mänsklig verksamhet.

Den rättsliga grunden, det vill säga lagstiftningen, är inte tillräcklig

För FPA:s automatiserade beslutsfattande finns ingen sådan rättslig grund, det vill säga lagstiftning, som förutsätts i den allmänna dataskyddsförordningen eller i grundlagen. FPA anser att den bristfälliga lagstiftningen utgör ett hinder för utvecklingsprojekt som hänför sig till automatisering. Enligt justitiekanslern kommer den allmänna lagstiftning om automatiserat beslutsfattande som för närvarande bereds vid justitieministeriet att lösa vissa frågor som gäller automatiserat beslutsfattande. Enligt de uppgifter som finns att tillgå räcker detta inte nödvändigtvis till för att hantera de problem som är förknippade med användningen av automatisering vid FPA. Därför bör behovet av speciallagstiftning som gäller FPA:s automatiserade beslutsfattande utredas.

Öppenheten vid automatiserat beslutsfattande

I sin redogörelse konstaterade FPA att det vid den tidpunkt då redogörelsen lämnades inte framgick av enskilda förmånsbeslut att beslutet fattats vid en automatiserad behandling. FPA har lovat att ändra sin verksamhet, och i fortsättningen ska det i beslutet anges om det har fattats automatiserat.

En central princip i den allmänna dataskyddsförordningen är öppenhet vid behandlingen av personuppgifter. Var och en ska ha rätt att få veta om och ta del av information om behandlingen av sina personuppgifter för att kunna bedöma om behandlingen är lagenlig. Öppenhetsprincipen omfattar bland annat automatiserat beslutsfattande och automatiserade beslutsprocesser. De beslutsregler och algoritmer som tillämpas vid beslutsfattandet är av betydelse när behandlingens lagenlighet bedöms.

Bestämmelserna i förvaltningslagen förutsätter å sin sida att förvaltningsbesluten är motiverade och att de till sitt språk och även i övrigt är klara och ändamålsenliga. En central aspekt i öppet beslutsfattande är motiveringarna till besluten. Motiveringarna gör det möjligt att bedöma beslutets lagenlighet och behovet av ändringssökande.

Öppenhet vid automatiserat beslutsfattande framhäver god, människoorienterad förvaltning som baserar sig på mänsklig verksamhet, vilket skapar förtroende för beslutsfattandet och myndigheternas verksamhet i allmänhet. Enligt justitiekanslern är förtroendet av central betydelse för berättigandet och godtagbarheten av användningen av automatisering vid beslutsfattande och i förvaltningsverksamhet överlag.

Enligt justitiekanslern bör både information om automatiserat beslutsfattande och de beslutsregler som tillämpas vid automatiserat beslutsfattande ingå som en del i en konsekvent beslutshelhet. På detta sätt förverkligar förvaltningsbeslutet den öppenhet som förutsätts i den allmänna dataskyddsförordningen. Samtidigt är beslutet språkligt och strukturellt klart och begripligt samt motiverat på det sätt som förutsätts i förvaltningslagen.

Konsekvensbedömningarna bör åtgärdas

Det riskbaserade förhållningssättet enligt den allmänna dataskyddsförordningen förutsätter att de risker som är förknippade med behandlingen av personuppgifter kartläggs. Den konsekvensbedömning som avses i förordningen är ett sätt att utreda förutom de risker som behandlingen av personuppgifter medför för den registrerades rättigheter och friheter också de åtgärder som är nödvändiga för att skydda personuppgifterna. Av den redogörelse som FPA lämnat framgår att det har gjorts mycket få konsekvensbedömningar av FPA:s automatiserade beslutsfattande. Enligt justitiekanslern förutsätter den allmänna dataskyddsförordningen att FPA utreder behovet av konsekvensbedömningar i fråga om sitt automatiserade beslutsfattande och vid behov gör en sådan bedömning. FPA bör åtgärda saken för att kunna visa att den följer dataskyddslagstiftningen.

Grundliga bedömningar av tjänsteansvar behövs

I sitt beslut bedömer justitiekanslern också hur tjänsteansvaret realiseras vid FPA:s automatiserade beslutsfattande. Enligt justitiekanslern ska det straffrättsliga och skadeståndsrättsliga tjänsteansvaret i praktiken realiseras också vid automatiserat beslutsfattande. Enligt FPA:s redogörelse kan tjänsteansvaret vid automatiserat beslutsfattande fastställas med hjälp av dokumentation som baserar sig på en så kallad systemarbetsmetod och med hjälp av organisationens arbetsfördelning, behörighet och verksamhetsmodeller, även om automatiserat beslutsfattande innebär att det inte finns någon som direkt kan hållas ansvarig. Enligt justitiekanslern kan detta fördunkla och fjärma ansvaret, särskilt med tanke på det orsakssamband mellan en gärning och en påföljd som det straffrättsliga ansvaret förutsätter, och bryta ned det i en så mångfasetterad och komplicerad kedja att det är så gott som omöjligt eller åtminstone mycket osannolikt att kunna rikta ansvaret mot någon. Då är tjänsteansvaret i värsta fall indirekt och närmast skenbart. I praktiken kan tjänsteansvaret inte realiseras i alla situationer, vilket betyder att kunderna kan hamna i en ojämlik ställning vad gäller rättsskydd. Enligt justitiekanslern gäller det att grundligt bedöma hur tjänsteansvaret realiseras vid automatiserat beslutsfattande.

Frågan om riktandet av tjänsteansvar vid automatiserat beslutsfattande behandlas för närvarande i justitieministeriets arbetsgrupp som bereder den allmänna lagstiftningen om automatiserat beslutsfattande.

Ytterligare information

Föredragande: Marjo Mustonen, referendarieråd, tfn 02951 62531, [email protected]