Profilowanie to szczególny rodzaj przetwarzania danych, który:

  1. Odbywa się w sposób automatyczny.
  2. Ma na celu ocenę osoby fizycznej lub przewidywania jej zachowania.

Profilowanie zawsze wymaga poinformowania o tym osoby, których dane dotyczą.

Osoby, których dane dotyczą maja prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu. Wyjątkiem jest, kiedy osoba taka udzieli wyraźnej zgody. Są też sytuacje, gdy zautomatyzowane podejmowanie decyzji wynika z przepisów prawa. Wtedy administrator ma obowiązek:

  1. Poinformować osobę, której dane dotyczą o zautomatyzowanym podejmowaniu decyzji.
  2. Przyznać osobie fizycznej prawo do zażądania zweryfikowania automatycznej decyzji przez człowieka.
  3. Umożliwić osobie, której dane dotyczą zakwestionowania zautomatyzowanej decyzji.

Przykładem jest sytuacja, kiedy bank w sposób zautomatyzowany podejmuje decyzji, czy osoba, której dane dotyczą dostanie kredyt. Taka osoba musi zostać o tym fakcie poinformowana oraz mieć możliwość zakwestionowania tej decyzji oraz zażądania działania człowieka.