Директива подтверждает право на защиту персональных данных и основные принципы, которые должны охватывать обработку данных в строгом соответствии с правилами и принципами Общего регламента по защите данных. Права субъектов данных и обязанности, налагаемые на контроллеров (например, в части безопасности данных, защиты данных по умолчанию, уведомления о нарушении в отношении персональных данных субъектов), идентичны правам и обязанностям Общего регламента по защите данных. Контроллер обязан назначить сотрудника для контроля за соблюдением правил защиты данных, информирования и консультационной поддержки организаций и работников, а также для сотрудничества с надзорными органами.
Директива также учитывает и осуществляет контроль над технологиями обработки, которые могут стать обременительными для субъектов данных (например, использование профилирования правоохранительными органами). В целом, все решения, основанные исключительно на автоматизированной обработке, включая профилирование, должны быть запрещены. Кроме того, такой вид обработки не применим к «специальным» категориям данных.
В настоящее время обработка персональных данных правоохранительными структурами и органами уголовного правосудия находится под контролем независимых надзорных органов.
Директива о конфиденциальности и электронных средствах связи
С целью обеспечения прав пользователей на неприкосновенность частной жизни и соблюдения конфиденциальности была разработана и внедрена Директива 2002/58/ЕС. Положения Директивы о конфиденциальности и электронных средствах связи устанавливают правила безопасности в части обработки персональных данных и защиты конфиденциальности в электронных сообщениях.
Операторы услуг электронной связи обязуются ограничить доступ к персональным данным всем, кроме уполномоченных лиц, и принять меры для предотвращения уничтожения, потери или случайного повреждения данных. В случае наличия возможного риска при использовании сервисов, оператор связи обязан проинформировать пользователя сервиса о наличии такого риска. В случае нарушения, несмотря на предпринятые меры защиты, операторы обязаны уведомить компетентный национальный орган, которому поручен контроль за выполнением Директивы. Операторам также вменяется в обязанность уведомлять субъектов данных о нарушениях, которые могут оказать негативное влияние на конфиденциальность данных. Для обеспечения конфиденциальности сообщений требуется, чтобы прослушивание, хранение или любой вид наблюдения или перехвата сообщений и метаданных, по умолчанию был запрещен. Директива также запрещает нежелательные спам-сообщения, если только субъекты данных не дали на это свое согласие. На электронных устройствах субъекта данных должны быть определены правила хранения файлов cookie. Данные обязательные нормы указывают на то, что конфиденциальность сообщений в значительной степени связана с защитой права на уважение частной жизни и персональных данных, закрепленные в статьях 7 и 8 Хартии основных прав ЕС соответственно.