Automaattinen päätöksenteko ja evästeet
Automatisoitu päätös on kyseessä silloin, kun päätöksen sisältö ei perustu minkäänlaiseen inhimilliseen myötävaikutukseen ja siitä aiheutuu rekisteröidylle oikeudellisia vaikutuksia. Päätöksen tarkoituksena on oltava rekisteröidyn ominaisuuksien, kuten esimerkiksi ammatillisen suorituskyvyn, luottokelpoisuuden, luotettavuuden tai käyttäytymisen arvioiminen. Koska päätöksestä on aiheuduttava rekisteröidylle oikeudellisia vaikutuksia tai sen on vaikutettava häneen merkittävällä tavalla, ei esimerkiksi suoramarkkinointikirjeen lähettäminen rekisteröidylle tietokoneen laatiman postituslistan perusteella ole pykälässä tarkoitettu automatisoitu päätös.
Rekisterinpitäjän on muistettava informointivelvollisuus kaikissa henkilötietojen käsittelytoimissa. Kun kyse on automaattisesta päätöksenteosta ja profiloinnista, rekisterinpitäjän on kiinnitettävä erityistä huomiota käsittelytoimien läpinäkyvyyteen. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Kieltoon on kuitenkin poikkeuksia. Automaattinen päätöksenteko on sallittua, jos päätös
on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten
on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä
perustuu rekisteröidyn nimenomaiseen suostumukseen.
Automaattisen päätöksenteon kohteina oleville henkilöille on kerrottava tieto suoritettavasta automaattisesta päätöksenteosta, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen nimenomaisen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen ja käytön tarkoituksesta. Evästeitä koskevaa suostumusta ei voi pätevästi antaa esimerkiksi valmiiksi rastitetulla ruudulla, vaan suostumuksen antaminen edellyttää käyttäjältä aktiivisia toimenpiteitä.