В едно цифрово общество, където личните данни се събират, използват и разпространяват постоянно, гражданите следва да могат свободно да решават как да използват своите собствени лични данни, за да се избегнат злоупотреби.

Член 8 от Хартата предвижда правото на всеки на защита на личните данни, отнасящи се до него.

Тези данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. Всеки има право на достъп до събраните данни, отнасящи се до него, както и правото да изиска поправянето им. Спазването на тези правила подлежи на контрол от независим орган.

Всяко лице в Съюза, чиито лични данни се обработват в Съюза или когато обработването е свързано с предлагането на стоки или услуги на лица в Съюза или за наблюдението на тяхното поведение в рамките на Съюза, е защитено от правна рамка, приета от Съюза съгласно член 8 от Хартата и член 16 от Договора за функционирането на Европейския съюз.

Ограничения на това право

Европейският парламент настоява за постигане на баланс между засилването на сигурността и борбата срещу престъпността и тероризма, от една страна, и защитата на неприкосновеността на личния живот и личните данни, от друга страна, за да се гарантира, че политиките са замислени така, че да интегрират тези основни права. Той е приел различни резолюции по тези чувствителни въпроси, особено относно масовото електронно наблюдение  на гражданите на ЕС.  Съдът на ЕС също е издал редица важни решения относно съвместимостта на законодателството на Съюза в областта на борбата с тежката престъпност и тероризма с Хартата, например: Digital Rights Ireland Ltd (C-293/12) , Tele2 Sverige AB (C-203/15) , дело Maximilian Schrems/Data Protection Commissioner  (C-362/14)  и Канада и PNR данните (становище 1/15) .

През 2016 г. Европейският парламент и Съветът приеха пакета за защита на данните. Той се състои от регламент  и директива . Този пакет представлява нова модерна и надеждна правна рамка, която държавите членки са задължени да прилагат, считано от 25 май 2018 г., за да гарантират, че личните данни на всеки един човек са защитени в рамките на Съюза.

Законодателството на Съюза за защита на данните определя принципите и задълженията, които администраторът трябва да изпълнява, с цел да се гарантира законното обработване на лични данни, като например правно основание за обработване на данните, принципи за обработка на данните, правила за международно предаване на лични данни извън територията на Съюза или за нарушения на сигурността на личните данни.

Правата на субектите на данни по отношение на обработването на техните лични данни

Всеки човек има право

  • да бъде информиран за обработването на неговите лични данни,
  • да получи достъп до личните си данни и
  • да поиска лични данни, които са неверни, неточни или непълни, да бъдат коригирани, заличени или ограничени. Той има също така право на преносимост на личните му данни от администратора на лични данни, който първоначално е обработвал данните, до друг администратор.

Всяко физическо лице има също така правото да изиска личните му данни да бъдат заличени, когато вече не са необходими или когато обработването не е в съответствие със закона.

В съответствие с Хартата (член 52) правата на хората могат да бъдат ограничени при много специфични обстоятелства, когато това е необходимо и пропорционално в едно демократично общество с оглед защита на някоя от целите от общ интерес, изрично посочени в законодателството на Съюза за защита на данните. 

Физическите лица могат по всяко време да възразят срещу обработването на личните им данни за маркетингови цели, което включва и профилиране, свързано с директния маркетинг, или въз основа на тяхната конкретна ситуация в някои специфични случаи.

Някои специални категории лични данни се считат за чувствителни и се ползват със специална защита съгласно Общия регламент относно защитата на данните .

Това се отнася за данни относно расов или етнически произход; политически възгледи, религиозни или философски убеждения; членство в профсъюзи; обработване на генетични данни; биометрични данни, които се използват за установяване на самоличността на лица; данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето.

Мониторингът на съответствието с разпоредбите за защита на данните се възлага на публични независими органи за защита на данните в държавите членки, които имат правомощия за намеса, разглеждат жалби на физически лица и приемат мерки за правоприлагане срещу администратора на данни. Националните органи за защита на данните могат да налагат административни глоби в размер до 20 000 000 EUR или до 4% от общия годишен световен оборот на администратор или обработващ лични данни за нарушения на законодателството на Съюза за защита на данните.