Inge Kristian Brodersen
Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofia Studencki
Sofie Axelsson
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund
Retten til indsigt omfatter også algoritmer og profiler
Østrigs Højesteret har efter et langvarigt forløb, herunder to præjudicielle runder ved EU-Domstolen, pålagt Meta at give fuld indsigt i alle personoplysninger om den registrerede. Afgørelsen slår fast, at indsigtsretten også omfatter data anvendt til algoritmisk behandling og profilering.
Selskabet skal desuden oplyse datakilder, modtagere (fortolket bredt) og formålet med hver enkelt behandling. Retten til indsigt er grundlæggende efter GDPR og kan ikke reduceres til et udsnit af “lette” data.
Ingen undtagelse for kompleksitet eller forretningshemmeligheder
Retten afviste, at indsigt kan nægtes med henvisning til uforholdsmæssig byrde eller forretningshemmeligheder. Hvis den dataansvarlige behandler oplysningerne, har den registrerede ret til at kende dem, også når de indgår i modeltræning eller profilbygning.
Domstolen efterlader kun snæver plads til at værne om hemmelig knowhow, og bevisbyrden ligger hos virksomheden. Praktisk betyder det, at kontrollerbare forklaringer og udtræk på individniveau skal kunne leveres uden at blotlægge irrelevante IP-oplysninger.
Følsomme oplysninger og konsekvenser for profilering
Afgørelsen rejser nye spørgsmål om sondringen mellem almindelige og følsomme oplysninger, når signaler og inferenser væves sammen i profiler. Mange datapunkter kan indirekte afsløre særlige kategorier, hvilket øger kravene til beskyttelse og dokumentation.
Organisationer, der profilerer eller træffer automatiserede afgørelser, bør styrke deres DSAR-setup og gennemsigtighed. Nøgletiltag omfatter:
- Opdaterede datakort med kilder, modtagere og formål på felt- og funktionsniveau.
- Tekniske udtræksværktøjer, der kan sammenkæde træningsdata, features og profiler pr. person.
- Lagdelte svar, der forklarer logik, kriterier og konsekvenser uden at afsløre kerne-IP.
