Det er i utgangspunktet ikke lov til å ta avgjørelser om den registrerte (herunder profilering) gjennom helautomatisert behandling.
At avgjørelsene er helautomatiske betyr at behandlingen av personopplysninger skjer uten at mennesker har vært involvert i prosessen. En viss grad av menneskelig involvering eller inngripen utelukker likevel ikke at behandlingen regnes som helautomatisert.
Reglene nevner spesielt automatiserte avgjørelser som innebærer profilering. Profilering er å bruke personopplysninger for å vurdere visse personlige aspekter ved den registrerte. Dette er særlige aktuelt der personopplysninger brukes for å analysere eller forutsi egenskaper, som den registrertes arbeidsprestasjoner og helse.
Et eksempel på profilering kan være der et kredittopplysningsbyrå automatisk kategoriserer skyldneres låneevne på grunnlag av opplysninger om inntekt, formue, alder og bosted.
Forbudet mot automatiserte avgjørelser gjelder når avgjørelsen har rettsvirkning for den registrerte, eller når virkningen har en tilsvarende betydning for registrerte. At avgjørelsen må ha rettsvirkning for den registrerte betyr at den må påvirke den registrertes rettigheter eller plikter.
Videre vil også forbudet gjelde der avgjørelsen i tilsvarende og betydelig grad har betydning for den registrerte. Det er uklart hvor grensen går, men avgjørelser som påvirker noens tilgang på helsetjenester vil mest sannsynlig være omfattet.
