• wywołuje wobec tej osoby skutki prawne lub
• w podobny sposób istotnie na nią wpływa.

Chodzi więc o to, aby decyzje, które są istotne dla osoby, której dane administrator przetwarza, były podejmowane z udziałem człowieka, a nie wyłącznie z udziałem automatu.

Wyjątkowo powyższy zakaz nie ma zastosowania, gdy decyzja:

• jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
• jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub
• opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Jeżeli automatyczne podejmowanie decyzji jest niezbędne do zawarcia lub wykonania umowy między osobą, której
dane dotyczą, a administratorem oraz wówczas, gdy odbywa się ono za wyraźną zgodą osoby, której dane dotyczą, administrator musi wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby,
której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Chodzi więc o umożliwienie weryfikacji decyzji...