Dyrektywa o ochronie danych - Data Protection Directive

Dyrektywa 95/46/WE

Dyrektywa Unii Europejskiej
Tytuł	Dyrektywa w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
Zrobione przez	Parlament Europejski i Rada
Odniesienie do czasopisma	L281, 23 listopada 1995, s. 31-50
Historia
Data wykonania	24 października 1995 r.
Weszło w życie	13 grudnia 1995 r.
Data implementacji	24 października 1998
Teksty przygotowawcze
Propozycja Komisji	C311, 27 listopada 1992, s. 30–61
Inne przepisy
Zmienione przez	Rozporządzenie (WE) nr 1882/2003
Uchylony

Część serii na
Globalny nadzór
Ujawnienia
Początki Przed 2013 r. 2013-obecnie Reakcje
Systemy
XKeyscore PRYZMAT RZUT Mięsożerne Naczynie Kamienny Duch Czasowy francuskielon Fairview MISTYK DCSN Bezgraniczny informator Bullrun Pinwale płaszczka SORM RAMPART-A Opanowanie Internetu Czasowy Operacyjna sieć radarowa Jindalee
Agencje
NSA SUROWE CSE BND CNI ASIO DGSE Pięć Oczu FSB MSS GCHQ Agencje wywiadowcze według kraju
Ludzie
Michael S. Rogers Keith Alexander James Bamford James Clapper Duncan Campbell Edwarda Snowdena Russ Tice George W. Bush Barack Obama Julian Assange
Miejsca
Pączek Fort Meade Menwith Hill Sosna Szczelina Kabel krzyżowy południowy Centrum danych w Utah Zła stacja Aibling Kompleks sztyletów GCHQ Bude
Prawa
Pięć Oczu Umowa UKUSA Połysk nas Ustawa o wolności USA Poprawki FISA UE Dyrektywa w sprawie retencji danych Dyrektywa o ochronie danych Chiny Krajowa ustawa o wywiadzie Prawo cyberbezpieczeństwa Wielka Brytania Ustawa o uprawnieniach śledczych z 2016 r.
Proponowane zmiany
nas Ustawa o ulepszeniach FISA Inne propozycje
Koncepcje
Masowa obserwacja Kultura strachu Bezpieczna komunikacja PODPIS Zapis szczegółów połączenia Problemy z nadzorem w inteligentnych miastach
powiązane tematy
Szpiegostwo Agencja Wywiadu Kryptografia Słup VPN TLS Prawa człowieka Prywatność Wolność Satelity Przestań nas oglądać Nic do ukrycia argumentu
v T mi

Dyrektywa o ochronie danych, oficjalnie Dyrektywa 95/46 / WE, uchwalona w październiku 1995 roku, to dyrektywa Unii Europejskiej , która reguluje przetwarzanie danych osobowych w ramach Unii Europejskiej (UE) i swobodnego przepływu tych danych. Dyrektywa o ochronie danych jest ważnym elementem prawa UE dotyczącego prywatności i praw człowieka .

Zasady określone w dyrektywie o ochronie danych mają na celu ochronę podstawowych praw i wolności przy przetwarzaniu danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych , przyjęta w kwietniu 2016 roku, zastąpiła dyrektywę o ochronie danych i stał się wykonalny w dniu 25 maja 2018.

Kontekst

Prawo do prywatności to bardzo rozwinięta dziedzina prawa w Europie. Wszystkie państwa członkowskie Unii Europejskiej (UE) są również sygnatariuszami Europejskiej Konwencji Praw Człowieka (EKPC). Artykuł 8 EKPC zapewnia prawo do poszanowania „życia prywatnego i rodzinnego, domu i korespondencji”, z zastrzeżeniem pewnych ograniczeń. Europejski Trybunał Praw Człowieka wydał niniejszego artykułu bardzo szeroką interpretację w swoim orzecznictwie.

W 1973 roku amerykański uczony Willis Ware opublikował Records, Computers, and the Rights of Citizens , raport, który miał mieć wpływ na kierunki, jakie te prawa przyjmą.

W 1980 roku, starając się stworzyć kompleksowy system ochrony danych w całej Europie, Organizacja Współpracy Gospodarczej i Rozwoju (OECD) wydała „Zalecenia Rady dotyczące wytycznych regulujących ochronę prywatności i transgranicznych przepływów danych osobowych ”. Siedem zasad rządzących zaleceniami OECD dotyczącymi ochrony danych osobowych to:

1. Powiadomienie — osoby, których dane dotyczą, powinny być powiadamiane o gromadzeniu ich danych;
2. Cel — dane powinny być wykorzystywane wyłącznie do określonego celu, a nie do żadnych innych celów;
3. Zgoda – dane nie powinny być ujawniane bez zgody osoby, której dane dotyczą;
4. Bezpieczeństwo — zebrane dane należy chronić przed potencjalnymi nadużyciami;
5. Ujawnianie – osoby, których dane dotyczą, powinny zostać poinformowane o tym, kto zbiera ich dane;
6. Dostęp — osoby, których dane dotyczą, powinny mieć możliwość dostępu do swoich danych i dokonywania korekt wszelkich niedokładnych danych
7. Odpowiedzialność — osoby, których dane dotyczą, powinny mieć dostępną metodę rozliczania zbierających dane z nieprzestrzegania powyższych zasad.

OECD Wytyczne były jednak niewiążące i prywatności danych przepisy nadal bardzo zróżnicowane w całej Europie. Stany Zjednoczone tymczasem, popierając zalecenia OECD , nie zrobiły nic, aby je wdrożyć w Stanach Zjednoczonych. Jednak pierwszych sześć zasad zostało włączonych do dyrektywy UE.

W 1981 roku w ramach Rady Europy wynegocjowano Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych . Konwencja ta zobowiązuje sygnatariuszy do uchwalenia przepisów dotyczących automatycznego przetwarzania danych osobowych, co wielu należycie uczyniło.

W 1989 roku, po zjednoczeniu Niemiec, dane zebrane przez Stasi w NRD stały się dobrze znane, zwiększając zapotrzebowanie na prywatność w Niemczech. W tym czasie Niemcy Zachodnie miały już przepisy dotyczące prywatności od 1977 r. ( Bundesdatenschutzgesetz ). Komisja Europejska sobie sprawę, że rozbieżny przepisów dotyczących ochrony danych między państwa członkowskie UE utrudnia swobodny przepływ danych w UE iw związku z tym proponowana dyrektywa w sprawie ochrony danych.

Zadowolony

Dyrektywa reguluje przetwarzanie danych osobowych niezależnie od tego, czy jest to przetwarzanie zautomatyzowane, czy nie.

Zakres

Dane osobowe są definiowane jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („ osoba, której dane dotyczą”); osoba możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności przez odniesienie do numeru identyfikacyjnego lub jednego lub więcej czynniki specyficzne dla jego tożsamości fizycznej, fizjologicznej, psychicznej, ekonomicznej, kulturowej lub społecznej;" (art. 2a).

Ta definicja ma być bardzo szeroka. Dane to „dane osobowe”, gdy ktoś jest w stanie powiązać informacje z osobą, nawet jeśli osoba posiadająca dane nie może tego powiązać. Niektóre przykłady „danych osobowych” to: adres, numer karty kredytowej , wyciągi bankowe, rejestr karny itp.

Pojęcie „ przetwarzanie ” oznacza „każdą operację lub zestaw operacji wykonywanych na danych osobowych w sposób automatyczny lub nie, taki jak gromadzenie, rejestrowanie, organizowanie, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub w inny sposób udostępniać, układać lub łączyć, blokować, usuwać lub niszczyć;" (art. 2 lit. b).

Odpowiedzialność za zgodność spoczywa na barkach „administratora”, czyli osoby fizycznej lub sztucznej , organu publicznego, agencji lub innego organu, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych; (art. 2d)

Zasady ochrony danych mają zastosowanie nie tylko wtedy, gdy administrator ma siedzibę w UE, ale zawsze, gdy administrator używa sprzętu znajdującego się w UE w celu przetwarzania danych. (art. 4) Administratorzy spoza UE przetwarzający dane w UE będą musieli przestrzegać przepisów o ochronie danych. Zasadniczo każda firma internetowa prowadząca handel z mieszkańcami UE przetwarzałaby niektóre dane osobowe i korzystałaby ze sprzętu w UE do przetwarzania danych (tj. komputera klienta). W konsekwencji operator strony internetowej musiałby przestrzegać europejskich przepisów o ochronie danych. Dyrektywa została napisana przed przełomem Internetu i do tej pory niewiele jest orzecznictwa na ten temat.

Zasady

Dane osobowe nie powinny być w ogóle przetwarzane, z wyjątkiem spełnienia określonych warunków. Warunki te dzielą się na trzy kategorie: przejrzystość, uzasadniony cel i proporcjonalność.

Przezroczystość

Osoba, której dane dotyczą, ma prawo do informacji, kiedy przetwarzane są jej dane osobowe. Administrator musi podać swoje imię i nazwisko oraz adres, cel przetwarzania, odbiorców danych oraz wszelkie inne informacje wymagane do zapewnienia rzetelności przetwarzania. (art. 10 i 11)

Dane mogą być przetwarzane tylko wtedy, gdy jest prawdziwe co najmniej jedno z poniższych (art. 7):

• gdy osoba, której dane dotyczą, wyraziła zgodę.
• gdy przetwarzanie jest niezbędne do wykonania lub zawarcia umowy.
• gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego.
• gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą.
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub osobie trzeciej, której dane są ujawniane.
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę lub strony trzecie, którym dane są ujawniane, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy związane z podstawowymi prawami i wolnościami osoby, której dane dotyczą. Osoba, której dane dotyczą, ma prawo dostępu do wszystkich przetwarzanych na jej temat danych. Osoba, której dane dotyczą, ma nawet prawo do żądania sprostowania, usunięcia lub zablokowania danych, które są niekompletne, niedokładne lub nie są przetwarzane zgodnie z przepisami o ochronie danych. (art. 12)

Uzasadniony cel

Dane osobowe mogą być przetwarzane wyłącznie w określonych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami. (art. 6 b) Dane osobowe muszą być chronione przed niewłaściwym wykorzystaniem i respektować „pewne prawa właścicieli danych, które są gwarantowane przez prawo UE”.

Proporcjonalność

Dane osobowe mogą być przetwarzane tylko w takim zakresie, w jakim jest to adekwatne, stosowne i nienadmierne w stosunku do celów, dla których są zbierane i/lub dalej przetwarzane. Dane muszą być dokładne i, w razie potrzeby, aktualizowane; należy podjąć wszelkie uzasadnione kroki, aby dane, które są niedokładne lub niekompletne, z uwzględnieniem celów, dla których zostały zebrane lub dla których są dalej przetwarzane, zostały usunięte lub sprostowane; Dane nie powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, dłużej niż jest to konieczne do celów, dla których dane zostały zebrane lub dla których są dalej przetwarzane. Państwa członkowskie ustanawiają odpowiednie zabezpieczenia danych osobowych przechowywanych przez dłuższe okresy do użytku historycznego, statystycznego lub naukowego. (art. 6).

W przypadku przetwarzania wrażliwych danych osobowych (mogą to być: przekonania religijne, poglądy polityczne, stan zdrowia, orientacja seksualna, rasa, członkostwo w dawnych organizacjach) obowiązują dodatkowe ograniczenia. (art. 8).

Osoba, której dane dotyczą, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych w celu marketingu bezpośredniego. (art. 14)

Decyzja oparta na algorytmie wywołująca skutki prawne lub istotnie wpływająca na osobę, której dane dotyczą, nie może opierać się wyłącznie na zautomatyzowanym przetwarzaniu danych. (art. 15) W przypadku stosowania automatycznych procesów decyzyjnych należy zapewnić formę odwołania.

Organ nadzorczy i publiczny rejestr operacji przetwarzania

Każde państwo członkowskie musi ustanowić organ nadzorczy, niezależny organ, który będzie monitorował poziom ochrony danych w tym państwie członkowskim, doradzał rządowi w zakresie środków i przepisów administracyjnych oraz wszczynał postępowanie sądowe w przypadku naruszenia przepisów o ochronie danych. (art. 28) Osoby fizyczne mogą wnosić skargi dotyczące naruszeń do organu nadzorczego lub do sądu.

Administrator musi powiadomić organ nadzorczy przed rozpoczęciem przetwarzania danych. Zawiadomienie zawiera co najmniej następujące informacje (art. 19):

• nazwisko i adres administratora i jego przedstawiciela, jeśli taki istnieje;
• cel lub cele przetwarzania;
• opis kategorii lub kategorii osoby, której dane dotyczą, oraz danych lub kategorii danych, które jej dotyczą;
• odbiorcy lub kategorie odbiorców, którym dane mogą zostać ujawnione;
• proponowane przekazywanie danych do państw trzecich;
• ogólny opis środków podjętych w celu zapewnienia bezpieczeństwa przetwarzania.

Informacje te są przechowywane w publicznym rejestrze.

Przekazywanie danych osobowych do państw trzecich

Kraje trzecie to termin używany w prawodawstwie do oznaczania krajów spoza Unii Europejskiej . Dane osobowe mogą być przekazywane do państwa trzeciego tylko wtedy, gdy państwo to zapewnia odpowiedni poziom ochrony danych. Przewidziane są pewne wyjątki od tej zasady, na przykład gdy sam administrator może zagwarantować, że odbiorca będzie przestrzegać zasad ochrony danych.

Art. 29 dyrektywy utworzył „Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych”, powszechnie znaną jako „ Grupa Robocza Art. 29 ”. Grupa Robocza udziela porad dotyczących poziomu ochrony w Unii Europejskiej i krajach trzecich.

Grupa Robocza negocjowała z przedstawicielami Stanów Zjednoczonych w sprawie ochrony danych osobowych, czego efektem były zasady bezpiecznej przystani . Według krytyków zasady Safe Harbor nie zapewniają odpowiedniego poziomu ochrony, ponieważ zawierają mniej obowiązków administratora i pozwalają na umowne zrzeczenie się niektórych praw.

W październiku 2015 r. Europejski Trybunał Sprawiedliwości orzekł, że system Safe Harbor jest nieważny w wyniku powództwa austriackiego działacza na rzecz ochrony prywatności w związku z eksportem danych subskrybentów przez europejski biznes Facebooka do Facebooka w USA. Władze amerykańskie i europejskie pracowały nad zastąpieniem Safe Harbor, a porozumienie osiągnięto w lutym 2016 r., co doprowadziło do przyjęcia przez Komisję Europejską ram Tarczy Prywatności UE-USA w dniu 12 lipca 2016 r.

W lipcu 2007 roku, nowy, kontrowersyjny, rekord przelotu pasażera (PNR) Umowa między USA a UE została podpisana.

W lutym 2008 roku Jonathan Faull , szef Komisji Spraw Wewnętrznych UE, skarżył się na dwustronną politykę Stanów Zjednoczonych w zakresie PNR. Stany Zjednoczone podpisały w lutym 2008 r. memorandum o porozumieniu (MOU) z Republiką Czeską w zamian za program zniesienia wiz, bez uprzedniej konsultacji z Brukselą. Napięcia między Waszyngtonem a Brukselą są spowodowane głównie niższym poziomem ochrony danych w USA, zwłaszcza że obcokrajowcy nie korzystają z amerykańskiej ustawy o prywatności z 1974 roku . Inne kraje, do których zwrócono się o dwustronne protokoły ustaleń, to Wielka Brytania, Estonia (Niemcy) i Grecja .

Wdrażanie przez państwa członkowskie

Dyrektywy UE są skierowane do państw członkowskich i co do zasady nie są prawnie wiążące dla osób fizycznych. Państwa członkowskie muszą dokonać transpozycji dyrektywy do prawa wewnętrznego. Dyrektywa 95/46/WE w sprawie ochrony danych osobowych musiała zostać przetransponowana do końca 1998 r. Wszystkie państwa członkowskie uchwaliły własne przepisy dotyczące ochrony danych.

Porównanie z amerykańskim prawem o ochronie danych

Od 2003 r. w Stanach Zjednoczonych nie ma jednego prawa o ochronie danych porównywalnego z unijną dyrektywą o ochronie danych.

Ustawodawstwo Stanów Zjednoczonych dotyczące prywatności jest zwykle przyjmowane ad hoc , przy czym ustawodawstwo powstaje, gdy wymagają tego pewne sektory i okoliczności (np. Ustawa o ochronie prywatności wideo z 1988 r., Ustawa o ochronie i konkurencji telewizji kablowej z 1992 r., Ustawa o rzetelnym raporcie kredytowym , oraz ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. , HIPAA (USA). Dlatego też, chociaż niektóre sektory mogą już spełniać wymagania dyrektywy UE, większość nie. Stany Zjednoczone preferują to, co nazywają „sektorowym” podejściem do ustawodawstwa o ochronie danych, które opiera się na połączeniu ustawodawstwa, regulacji i samoregulacji, a nie tylko regulacji rządowych. Były prezydent USA Bill Clinton i były wiceprezydent Al Gore wyraźnie zalecili w swoich „Ramach globalnego handlu elektronicznego”, że sektor prywatny powinien przewodzić, a firmy powinny wdrożyć samoregulację w odpowiedzi na problemy związane z technologią internetową.

Rozumowanie stojące za tym podejściem ma tyle wspólnego z amerykańską ekonomią leseferystyczną, co z różnymi perspektywami społecznymi. Pierwsza Poprawka w Konstytucji Stanów Zjednoczonych gwarantuje prawo do wolności słowa. Podczas gdy wolność słowa jest wyraźnym prawem gwarantowanym przez Konstytucję Stanów Zjednoczonych , prywatność jest domyślnym prawem gwarantowanym przez Konstytucję, zgodnie z interpretacją Sądu Najwyższego Stanów Zjednoczonych , chociaż często jest to prawo jawne w wielu konstytucjach stanowych.

Obszerne regulacje dotyczące prywatności w Europie są uzasadnione w odniesieniu do doświadczeń z czasów rządów faszystowskich z czasów II wojny światowej i powojennych reżimów komunistycznych , gdzie szeroko rozpowszechnione było niekontrolowane wykorzystywanie danych osobowych. II wojna światowa i okres powojenny to czas w Europie, kiedy ujawnienie rasy lub pochodzenia etnicznego doprowadziło do tajnych donosów i konfiskat, które wysyłały przyjaciół i sąsiadów do obozów pracy i obozów koncentracyjnych. W dobie komputerów pilnowanie tajnych akt rządowych przez Europejczyków przełożyło się na brak zaufania do korporacyjnych baz danych, a rządy w Europie podjęły zdecydowane kroki w celu ochrony danych osobowych przed nadużyciami w latach po II wojnie światowej . (Niemcy) i Francja, w szczególności, określają kompleksowe przepisy dotyczące ochrony danych.

Krytycy europejskiej polityki w zakresie danych stwierdzili jednak, że utrudniają one Europie zarabianie na danych użytkowników w Internecie i są głównym powodem, dla którego w Europie nie ma firm Big Tech , a większość z nich znajduje się w Stanach Zjednoczonych. . Co więcej, po tym, jak Alibaba i Tencent dołączyły do ​​grona 10 najcenniejszych firm technologicznych na świecie w ostatnich latach, nawet Chiny wyprzedzają Europę pod względem wyników swojej gospodarki cyfrowej, która w 2019 r. została wyceniona na 5,09 bln USD (35,8 bln juanów).

Chiny i Stany Zjednoczone łącznie stanowiły 75% wszystkich zgłoszonych patentów związanych z wiodącymi technologiami informatycznymi, takimi jak blockchain, 50% globalnych wydatków na Internet Rzeczy , ponad 75% światowego rynku przetwarzania w chmurze i 90% rynku kapitalizacja 70 największych platform cyfrowych na świecie. Udział UE to tylko 4%.

Tymczasem zainteresowanie Europy Stanami Zjednoczonymi jest prawdopodobnie przede wszystkim niesłuszne, ponieważ Chiny i Rosja są coraz częściej identyfikowane przez europejskich decydentów jako agresorów „hybrydowych zagrożeń”, używając kombinacji propagandy w mediach społecznościowych i hakowania, aby celowo podkopywać funkcjonowanie instytucji europejskich .

Zastąpienie przez ogólne rozporządzenie o ochronie danych

W dniu 25 stycznia 2012 r. Komisja Europejska (KE) ogłosiła, że ​​ujednolici prawo o ochronie danych w zjednoczonej Unii Europejskiej poprzez prawodawstwo zwane „ Ogólnym rozporządzeniem o ochronie danych ”. Cele WE związane z tym prawodawstwem obejmowały:

• harmonizacja 27 krajowych przepisów o ochronie danych w jedno ujednolicone rozporządzenie;
• poprawa zasad przekazywania danych korporacyjnych poza Unię Europejską; oraz
• poprawa kontroli użytkownika nad danymi umożliwiającymi identyfikację osobową.

Pierwotny wniosek dyktował również, że prawodawstwo teoretycznie „ma zastosowanie do wszystkich przedsiębiorstw spoza UE, które nie mają siedziby w UE, pod warunkiem, że przetwarzanie danych jest skierowane do mieszkańców UE”, co stanowi jedną z największych zmian w nowym prawodawstwie. Zmiana ta doszła do ostatecznego zatwierdzenia przepisów w dniu 14 kwietnia 2016 r., wpływając na podmioty na całym świecie. „Rozporządzenie ma zastosowanie do przetwarzania poza UE, które odnosi się do oferowania towarów lub usług podmiotom danych (osobom fizycznym) w UE lub monitorowania ich zachowania” według W. Scotta Blackmera z InfoLawGroup, chociaż dodał „[ Wątpliwe jest, czy europejskie organy nadzorcze lub konsumenci rzeczywiście próbowaliby pozwać operatorów z siedzibą w USA za naruszenia rozporządzenia”. Dodatkowe zmiany obejmują ostrzejsze warunki wyrażenia zgody, szerszą definicję danych wrażliwych, nowe przepisy dotyczące ochrony prywatności dzieci oraz włączenie „praw do bycia zapomnianym”.

Następnie KE wyznaczyła datę zgodności na 25 maja 2018 r., dając firmom na całym świecie możliwość przygotowania się do zgodności, przeglądu języka ochrony danych w umowach, rozważenia przejścia na standardy międzynarodowe, aktualizacji polityki prywatności i przeglądu planów marketingowych.

Zobacz też

Bibliografia

Zewnętrzne linki

• Dyrektywa 95/46/WE (Dyrektywa o ochronie osób fizycznych w zakresie przetwarzania danych osobowych i o swobodnym przepływie takich danych)
• Strona dotycząca ochrony danych w UE . Komisja Europejska udostępnia obszerne informacje na swojej stronie internetowej. Obejmuje następujące tematy:
  • Dokumenty ustawodawcze
  • Transpozycja i wdrożenie dyrektywy 95/46/WE
  • Europejski Inspektor Ochrony Danych
  • Krajowi Rzecznicy Ochrony Danych
  • Sztuka. 29 Grupa Robocza ds. Ochrony Danych
  • Adekwatność ochrony w państwach trzecich i wzory umów o przekazanie danych osobowych do państw trzecich
• 2000/520/WE: Decyzja Komisji z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (zasada „bezpiecznej przystani”)
• Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. (dyrektywa o prywatności i łączności elektronicznej)
• Procedura 2012/0011/COD Plik procedury dla proponowanych zmienionych ram prawnych (ogólne rozporządzenie o ochronie danych)
• Przydatne informacje o nowym ogólnym rozporządzeniu o ochronie danych