Dostosowanie się do ery cyfrowej 

Ochrona danych osobowych jest jednym z praw podstawowych zapisanych w Karcie praw podstawowych Unii Europejskiej i w Traktacie o funkcjonowaniu Unii Europejskiej.

W społeczeństwie cyfrowym, w którym dane osobowe są stale gromadzone, wykorzystywane i rozpowszechniane, obywatele powinni mieć możliwość swobodnego decydowania o sposobach wykorzystania ich danych osobowych, tak by nie dochodziło do nadużyć.

Artykuł 8 Karty przewiduje prawo każdej osoby do ochrony dotyczących jej danych osobowych.

Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej prawem. Każdy ma prawo dostępu do zgromadzonych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu.

Każda osoba w Unii, której dane osobowe są przetwarzane w Unii, również w przypadku gdy przetwarzanie wiąże się z oferowaniem towarów lub usług takiej osobie w Unii lub z monitorowaniem jej zachowania w Unii, jest chroniona unijnymi ramami prawnymi przyjętymi na podstawie art. 8 Karty praw podstawowych Unii Europejskiej i art. 16 Traktatu o funkcjonowaniu Unii Europejskiej. 

Parlament Europejski nalega, by zachować równowagę między poprawą bezpieczeństwa oraz zwalczaniem przestępczości i terroryzmu a ochroną prywatności i danych osobowych, i zadbać o to, by polityka we wspomnianych dziedzinach była kształtowana z uwzględnieniem tych praw podstawowych. Parlament przyjął wiele rezolucji w tych newralgicznych kwestiach, w szczególności w sprawie masowej inwigilacji elektronicznej obywateli UE.  Trybunał Sprawiedliwości Unii Europejskiej wydał również szereg ważnych wyroków dotyczących zgodności unijnych przepisów prawnych dotyczących zwalczania poważnych przestępstw i terroryzmu z Kartą praw podstawowych Unii Europejskiej, na przykład: Digital Rights Ireland Ltd (C-293/12), Tele2 Sverige AB (C-203/15), Maximilian Schrems przeciwko Data Protection Commissioner (C-362/14) oraz Umowa z Kanadą o danych PNR (Opinia nr 1/15).

W 2016 r. Parlament Europejski i Rada przyjęły pakiet dotyczący ochrony danych. Pakiet ten obejmuje rozporządzenie i dyrektywę. Stanowi on nowe, nowoczesne i solidne ramy prawne, które państwa członkowskie są zobowiązane stosować od dnia 25 maja 2018 r., aby zapewnić ochronę danych osobowych każdej osoby fizycznej w Unii.

Unijne przepisy dotyczące ochrony danych określają zasady i obowiązki, których administrator danych musi przestrzegać w celu zapewnienia zgodnego z prawem przetwarzania danych osobowych, takie jak podstawa prawna przetwarzania danych, zasady przetwarzania danych, przepisy dotyczące międzynarodowego przekazywania danych osobowych poza Unię czy naruszenia danych osobowych.

Osoby fizyczne mają prawo do

• bycia poinformowanymi o przetwarzaniu ich danych osobowych,
• uzyskania dostępu do swoich danych osobowych oraz
• do zażądania, aby dane osobowe, które są niewłaściwe, niedokładne lub niepełne, zostały poprawione, usunięte lub ich przetwarzanie ograniczone. Mają także prawo do przenoszenia swoich danych osobowych od administratora, który początkowo je przetwarzał, do innego administratora.

Osoby fizyczne mają także prawo zażądać, aby ich dane osobowe były usunięte, jeżeli nie są już potrzebne lub jeżeli przetwarzanie nie jest zgodne z prawem.

Zgodnie z Kartą (art. 52) prawa osób fizycznych można ograniczyć w bardzo szczególnych okolicznościach, gdy jest to współmierne i konieczne w demokratycznym społeczeństwie do ochrony któregokolwiek z celów interesu ogólnego wyraźnie sformułowanych w unijnym prawie o ochronie danych. 

Osoby fizyczne mogą w każdej chwili sprzeciwić się przetwarzaniu ich danych osobowych do celów marketingowych, co obejmuje profilowanie związane z marketingiem bezpośrednim, lub z uwagi na ich szczególną sytuację w pewnych specjalnych przypadkach.

Niektóre szczególne kategorie danych osobowych uważa się za wrażliwe i chroni na mocy ogólnego rozporządzenia o ochronie danych.

Dotyczy to danych odnoszących się do pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych, przetwarzania danych genetycznych, danych biometrycznych używanych do identyfikacji osób, zdrowia i życia seksualnego lub orientacji seksualnej.

Monitorowanie zgodności z przepisami o ochronie danych spoczywa na publicznych niezależnych organach ochrony danych w państwach członkowskich, które to organy są uprawnione do interwencji, rozpatrywania skarg złożonych przez osoby fizyczne oraz przyjmowania środków egzekucyjnych wobec administratora danych. Za naruszenia unijnego prawa o ochronie danych krajowe organy ochrony danych mogą nakładać kary administracyjne w wysokości do 20 000 000 EUR lub 4 % całkowitego światowego obrotu danego administratora danych lub podmiotu przetwarzającego dane.