fbpx
10 januari, 2019 | Magnus Kolsjö | Digitalisering

Förvaltningslagen bryter mot EU-rätten

Den 1 juli förra året fick Sverige en ny förvaltningslag. Lagen innehåller mycket bra som syftar till att förenkla kontakten med myndigheterna, snabba på ärendehanteringen och stärka rättssäkerheten. Men det finns också problem med lagen.

I lagens inledning tydliggörs även grunderna för en god förvaltning genom att principerna om legalitet, objektivitet och proportionalitet skrivs in i förvaltningslagen. Dessa principer gäller både handläggning av ärenden och annan förvaltningsverksamhet.

I den nya förvaltningslagen finns en bestämmelse om att ärenden kan avgöras automatiserat. Regeringen skriver i propositionen:

“Regeringen anser att det också finns anledning att i lagen tydliggöra att förvaltningsbeslut kan fattas på automatiserad väg. Utredningens författningsförslag saknar ett sådant klargörande. Regeringen kan dock konstatera att automatiseringen av beslut under senare år har kommit att bli en allt vanligare företeelse inom delar av den förvaltning som hanterar ett mycket stort antal ärenden årligen, t.ex. i Försäkringskassans verksamhet. Genom att det i lagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform. Regleringen skapar därmed också bättre förutsättningar för en fortsatt utveckling av den digitala förvaltningen.” (Prop. 2016/17:180 sid 179f)

Det har länge funnits delade meningar om huruvida frågan om automatiserat beslutsfattande behöver regleras uttryckligt i lag. Exempelvis ansåg E-delegationen i sitt betänkande “Automatiserade beslut – färre regler ger tydligare reglering” (SOU 2014:75) att det inte behövdes någon sådan reglering. Riksförsäkringsverket kom å andra sidan fram till motsatt ståndpunkt efter en genomgång av rättsläget 1998 (se SOU 2001:47 bilaga 9) då de konstaterade att det behövdes en uttrycklig reglering eftersom: “Avsaknaden av författningsstöd för automatiska beslut orsakar en del tolkningsproblem. Detta gäller framförallt frågan om vem som ansvarar för ett automatiskt beslut.”

Det är därför bra att det i förvaltningslagen nu tydligt framgår att beslut kan fattas automatiserat. Tyvärr verkar regeringen ha missat en del avgörande frågor kring automatiserade beslut i samband med beredningen av ärendet som gör att den nya regeln inte kan tillämpas.

I detta blogginlägg kommer jag beskriva hur den svenska lagstiftningen strider mot dataskyddsförordningen (GDPR). Jag kommer i ett senare inlägg beskriva de andra problem som inte uppmärksammats i beredningen av frågan.

Dataskyddsförordningen innehåller i artikel 22 en rätt för enskilda att inte bli utsatta för beslut som “enbart grundas på automatiserad behandling”. Vad gäller myndigheters användning av automatiserade beslut finns ett undantag om det är tillåtet “enligt unionsrätten eller en medlemsstats nationella rätt… och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen”

Enligt dataskyddsförordningen ska det alltså både finnas en lagstiftning som uttryckligen ger myndigheter rätt att fatta automatiserade beslut och en lagstiftning som innehåller regler om vissa bestämda skyddsåtgärder.

En viktig aspekt här är också att dataskyddsförordningens begrepp för automatiserad behandling även avser sådana beslut som tas fram automatiserat men där en människa fattar det formella beslutet. För att ett beslut inte ska träffas av dataskyddsförordningens regler om automatiserad behandling krävs att granskningen av beslutet sker på ett meningsfullt sätt snarare än enbart som en symbolisk gest.

Digitaliseringsrättsutredningen konstaterade i sitt betänkande “Juridik som stöd för förvaltningens digitalisering” (SOU 2018:25) att det avseende förvaltningslagen “saknas förarbetsuttalanden som anger hur bestämmelsen i förvaltningslagen om att beslut kan fattas automatiserat förhåller sig till dataskyddsförordningen”. Trots detta gjorde de bedömningen att regeringens uttalade stöd “för automatiserat beslutsfattande i förvaltningslagen som utgångspunkt borde innebära att automatiserat beslutsfattande inom förvaltningen även ska anses tillåtet enligt dataskyddsförordningen”.

eSams rättsliga expertgrupp har i ett rättsligt uttalande dragit slutsatsen att automatiserade beslut i och med bestämmelserna i förvaltningslagen inte förhindras av dataskyddsförordningen eftersom lagen innehåller bestämmelser om kommunikation, rätt att lämna uppgifter muntligen, rätt till omprövning samt rätt till överklagande. Det är dock inte i första hand denna typ av skyddsåtgärder som avses i dataskyddsförordningen. Man kan heller inte som Digitaliseringsrättsutredningen anta att något är förenligt med dataskyddsförordningen utifrån att regeringen i förarbetena inte berört frågan.

EU:s så kallade Artikel 29-arbetsgruppen som utfärdar riktlinjer gällande tillämpningen av dataskyddsförordningen har i riktlinjer gällande automatiserat beslutsfattande angett att den som är föremål för ett automatiserat beslut ska få:

  1. meningsfull information om den bakomliggande logiken,
  2. möjlighet att kontrollera detaljer om informationen bakom beslutet och vilka källor som använts för att ta fram den,
  3. möjlighet att uppdatera eller ändra eventuella felaktigheter i uppgifterna,
  4. rätt att göra invändningar, framföra synpunkter och överklaga beslutet, samt
  5. rätt till meningsfullt mänskligt ingripande

Förvaltningslagen täcker genom sina bestämmelser om service, partsinsyn, rättelse, omprövning och överklagande i stort sett in kraven i punkterna 2, 3 och 4. Men det finns idag ingen lagstiftning som innebär att en enskild får, eller ens kan begära, en meningsfull information om den logik som styr de algoritmer eller programvaror som tar fram det automatiserade beslutet. Det finns heller ingen rätt till mänskligt ingripande för den som motsätter sig det automatiserade förfarandet.

Digitaliseringsrättsutredningen har föreslagit att det ska införas en bestämmelse i Offentlighets- och sekretesslagen som ska göra det möjligt att ta del av information om hur myndigheter använder algoritmer eller datorprogram som, helt eller delvis, påverkar automatiserade urval eller beslut. Det finns för- och nackdelar med att placera en sådan bestämmelse just i Offentlighets- och sekretesslagen.

Det är bra att vi får en bestämmelse som täcker in den rätt till information som Artikel 29-gruppen beskrivit. Det är också bra att bestämmelsen genom att den skrivs in i Offentlighets- och sekretesslagen gäller även de automatiserade beslut som inte bygger på personuppgifter. Nackdelen är att bestämmelsen, liksom många andra bestämmelser i Offentlighets- och sekretesslagen, är utformad på ett sådant sätt att den enskilde bara får informationen om den begär det. Dataskyddsförordningens rätt till information handlar snarare om en informationsplikt där den enskilde ska få informationen i samband med beslutet.

Även om Digitaliseringsrättsutredningen förslag genomförs i någon form så saknas fortfarande en bestämmelse om rätten till meningsfullt mänskligt ingripande. Reglerna om omprövning i förvaltningslagen kan inte tillämpas enbart utifrån grunden att någon motsätter sig automatiserad behandling. Det krävs att beslutet på något sätt är felaktigt eller att det framkommit nya omständigheter.

Det är olyckligt att vi har hamnat i en situation där den lagliga grunden för automatiserade beslut kan ifrågasättas. Att den skyddslagstiftning som krävs enligt EU-rätten saknas gör ju att det inte bara är de beslut som fattas automatiserat med stöd av förvaltningslagen som berörs, det handlar om alla beslut som fattas automatiserat med stöd av de olika förordningar som idag finns. Bristen på skyddande regler skapar en osäkerhet för de enskilda som omfattas av ett beslut men även för de som arbetar inom den statliga förvaltningen och som på olika sätt ansvarar för de beslut som idag fattas automatiserat.

Detta är en fråga som snarast måste få en lösning.

Magnus Kolsjö

Magnus Kolsjö är utredare med ett förflutet i riksdagen och...

Mer från samma skribent

2019-11-21 | Magnus Kolsjö | Digitalisering

Den som följt debatten om digitaliseringen av offentlig sektor det senaste året kan knappast ha undgått att höra om Cloud act och debatten om huruvida svenska myndigheter bör eller ens kan använda sig av amerikanska leverantörer av molntjänster. Från...

2019-01-18 | Magnus Kolsjö | Digitalisering

I det här blogginlägget tar jag upp några andra frågor som verkar ha missats i beredningen av förvaltningslagen bestämmelse om  automatiserade beslut och som därför kan skapa svårigheter när den ska tillämpas. Beredningstvånget En myndighet får inte...

2019-01-10 | Magnus Kolsjö | Digitalisering

I lagens inledning tydliggörs även grunderna för en god förvaltning genom att principerna om legalitet, objektivitet och proportionalitet skrivs in i förvaltningslagen. Dessa principer gäller både handläggning av ärenden och annan...