Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Automatiserat beslutsfattande inom offentlig förvaltning – Med fokus på artikel 22 GDPR och svensk nationell lagstiftning inom socialförsäkringsområdet

Hentschel Lund, Martin LU (2024) JURM02 20242
Department of Law
Faculty of Law
Abstract
In modern Swedish public administration, technical solutions are used to facilitate or streamline internal processes with the help of artificial intelligence (AI). Public management can use machine-learned systems for assessment purposes or even automated decision-making. The Swedish Social Insurance Agency (Försäkringskassan) uses such tools to automatically review Care of a sick child (vab) applications and highlight potential fraud cases to administrators.

Article 22 of the General Data Protection Regulation (GDPR), as a key data protection law provision, establishes a general prohibition on automated decisions. However, the restriction is not absolute, as national law may allow automated decision-making under Article 22(2)(b) GDPR,... (More)
In modern Swedish public administration, technical solutions are used to facilitate or streamline internal processes with the help of artificial intelligence (AI). Public management can use machine-learned systems for assessment purposes or even automated decision-making. The Swedish Social Insurance Agency (Försäkringskassan) uses such tools to automatically review Care of a sick child (vab) applications and highlight potential fraud cases to administrators.

Article 22 of the General Data Protection Regulation (GDPR), as a key data protection law provision, establishes a general prohibition on automated decisions. However, the restriction is not absolute, as national law may allow automated decision-making under Article 22(2)(b) GDPR, provided that adequate safeguards are in place.

This study examines how automated decisions are regulated in Article 22 GDPR and how the regulation is supplemented and affected by Swedish national law, with a particular focus on the social security area. The thesis applies a legal dogmatic method to systematize and analyze the GDPR, the legal space for automated decision-making and how national legislation can deviate from or supplement the GDPR's provisions, with reference to Section 28 of the Administrative Procedure Act (2017:900).

In addition, the legal informatics approach is used to highlight the interaction between law and technology in the choice of automated systems.

Central to the paper is the issue of technology neutrality in Article 22 GDPR, which prohibits automated decision-making with legal effects or significant impact on the individual, unless specific exemptions are provided. These exceptions, in particular Article 22(2)(b) GDPR, leave room for Member States to enable automated decisions through national legislation, as reflected in the Swedish Administrative Procedure Act.

The thesis identifies that decision support systems often fall into a legal grey area that lacks a clear definition in Article 22. The risk-based approach that characterizes compliance with the GDPR requires impact assessments under Article 35 GDPR to determine and manage the risks in automated processing of personal data.

The paper also highlights the role of Swedish legislation in enabling automated decision-making and how this may affect the data subject under the GDPR. The thesis concludes that Swedish law largely relies on opening clauses in the GDPR, which has led to a more generous application of automated decision-making than the GDPR itself prescribes.

The technology neutral application of the general permission of automated decision-making in Section 28 of the Administrative Procedure Act is criticized in the legal doctrine but should be seen as acceptable when merged with register legislation such as that in Chapter 114. SFB.

This compilation provides a deeper understanding of the legal framework sur-rounding automated decision-making and its impact on public administration and identifies the need for increased clarity and guidance in the legislation to ensure that technological solutions are utilized and further developed in accordance with current legal requirements. (Less)
Abstract (Swedish)
I modern svensk myndighetsutövning används tekniska lösningar för att underlätta eller effektivisera interna processer med hjälp av artificiell intelligens (AI). Den offentliga förvaltningen kan nyttja maskininlärda AI-system för beslutsstöd eller till och med automatiserat beslutsfattande. Försäkringskassan använder sådana verktyg för att automatiskt granska vab-ansökningar och markera potentiellt bidragsfusk för handläggare.

Artikel 22 dataskyddsförordningen (GDPR) fastställer, i egenskap av central dataskyddsrättslig bestämmelse, ett generellt förbud mot automatiserade beslut. Förbudet är emellertid inte absolut, då nationell rätt kan tillåta automatiserat beslutsfattande enligt artikel 22.2 b GDPR, förutsatt att det finns... (More)
I modern svensk myndighetsutövning används tekniska lösningar för att underlätta eller effektivisera interna processer med hjälp av artificiell intelligens (AI). Den offentliga förvaltningen kan nyttja maskininlärda AI-system för beslutsstöd eller till och med automatiserat beslutsfattande. Försäkringskassan använder sådana verktyg för att automatiskt granska vab-ansökningar och markera potentiellt bidragsfusk för handläggare.

Artikel 22 dataskyddsförordningen (GDPR) fastställer, i egenskap av central dataskyddsrättslig bestämmelse, ett generellt förbud mot automatiserade beslut. Förbudet är emellertid inte absolut, då nationell rätt kan tillåta automatiserat beslutsfattande enligt artikel 22.2 b GDPR, förutsatt att det finns tillräckliga skyddsåtgärder.

Detta examensarbete undersöker hur automatiserade beslut regleras i artikel 22 GDPR och hur förordningen kompletteras och påverkas av svensk nationell rätt, med särskilt fokus på socialförsäkringsområdet. Uppsatsen tillämpar en rättsdogmatisk metod för att systematisera och analysera GDPR, det rättsliga utrymmet för automatiserat beslutsfattande och hur nationell lagstiftning kan avvika från eller komplettera GDPR:s bestämmelser, med särskild hänvisning till 28 § förvaltningslagen (2017:900).

Därtill används den rättsinformatiska metoden för att belysa samspelet mellan juridik och teknik i valet av automatiserade system.

Centralt för arbetet är frågan om teknikneutralitet i artikel 22 GDPR, som förbjuder automatiserat beslutsfattande med rättsverkan eller betydande påverkan på den enskilde, om inte särskilda undantag föreligger. Dessa undantag, i synnerhet artikel 22.2 b GDPR, ger medlemsstater utrymme att möjliggöra automatiserade beslut genom nationell lagstiftning, vilket återspeglas i den svenska förvaltningslagen.

Examensarbetet identifierar att beslutsstödssystem ofta hamnar i en juridisk gråzon som saknar tydlig definition i artikel 22. Den riskbaserade metod som präglar efterlevnaden av GDPR förutsätter konsekvensbedömningar enligt artikel 35 GDPR för att avgöra och hantera riskerna i automatiserad behandling av personuppgifter.

Arbetet belyser också den svenska lagstiftningens roll i att möjliggöra automatiserat beslutsfattande och hur detta kan påverka den registrerades rättigheter enligt GDPR. Examensarbetet drar slutsatsen att svensk rätt i stor utsträckning förlitar sig på öppningsklausuler i GDPR, vilket medfört en mer generös tilllämpning av automatiserat beslutsfattande än vad GDPR i sig föreskriver.

Den teknikneutrala tillämpningen av den generella tillåtelsen av automatiserat beslutsfattande i 28 § förvaltningslagen kritiseras i doktrinen, men bör ses som godtagbar vid samläsning med registerlagstiftning såsom den i 114 kap. SFB.

Sammanställningen bidrar med en fördjupad förståelse för de rättsliga ramarna kring automatiserat beslutsfattande och dess påverkan på offentlig förvaltning, och identifierar behovet av ökad tydlighet och vägledning i lagstiftningen för att säkerställa att teknologiska lösningar nyttjas och vidareutvecklas i enlighet med gällande rättsliga krav. (Less)
Please use this url to cite or link to this publication:
author
Hentschel Lund, Martin LU
supervisor
organization
alternative title
Automated Decision-Making in Public Administration – Focusing on Article 22 of the GDPR and Swedish National Legislation in the Social Security Sector
course
JURM02 20242
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
offentlig rätt, automatiserat beslutsfattande, GDPR, rättsinformatik, GDPR artikel 22
language
Swedish
id
9180062
date added to LUP
2025-01-17 11:18:59
date last changed
2025-01-17 11:18:59
@misc{9180062,
  abstract     = {{In modern Swedish public administration, technical solutions are used to facilitate or streamline internal processes with the help of artificial intelligence (AI). Public management can use machine-learned systems for assessment purposes or even automated decision-making. The Swedish Social Insurance Agency (Försäkringskassan) uses such tools to automatically review Care of a sick child (vab) applications and highlight potential fraud cases to administrators. 

Article 22 of the General Data Protection Regulation (GDPR), as a key data protection law provision, establishes a general prohibition on automated decisions. However, the restriction is not absolute, as national law may allow automated decision-making under Article 22(2)(b) GDPR, provided that adequate safeguards are in place.

This study examines how automated decisions are regulated in Article 22 GDPR and how the regulation is supplemented and affected by Swedish national law, with a particular focus on the social security area. The thesis applies a legal dogmatic method to systematize and analyze the GDPR, the legal space for automated decision-making and how national legislation can deviate from or supplement the GDPR's provisions, with reference to Section 28 of the Administrative Procedure Act (2017:900). 

In addition, the legal informatics approach is used to highlight the interaction between law and technology in the choice of automated systems. 

Central to the paper is the issue of technology neutrality in Article 22 GDPR, which prohibits automated decision-making with legal effects or significant impact on the individual, unless specific exemptions are provided. These exceptions, in particular Article 22(2)(b) GDPR, leave room for Member States to enable automated decisions through national legislation, as reflected in the Swedish Administrative Procedure Act.

The thesis identifies that decision support systems often fall into a legal grey area that lacks a clear definition in Article 22. The risk-based approach that characterizes compliance with the GDPR requires impact assessments under Article 35 GDPR to determine and manage the risks in automated processing of personal data.

The paper also highlights the role of Swedish legislation in enabling automated decision-making and how this may affect the data subject under the GDPR. The thesis concludes that Swedish law largely relies on opening clauses in the GDPR, which has led to a more generous application of automated decision-making than the GDPR itself prescribes.

The technology neutral application of the general permission of automated decision-making in Section 28 of the Administrative Procedure Act is criticized in the legal doctrine but should be seen as acceptable when merged with register legislation such as that in Chapter 114. SFB. 

This compilation provides a deeper understanding of the legal framework sur-rounding automated decision-making and its impact on public administration and identifies the need for increased clarity and guidance in the legislation to ensure that technological solutions are utilized and further developed in accordance with current legal requirements.}},
  author       = {{Hentschel Lund, Martin}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Automatiserat beslutsfattande inom offentlig förvaltning – Med fokus på artikel 22 GDPR och svensk nationell lagstiftning inom socialförsäkringsområdet}},
  year         = {{2024}},
}