Оператор должен обеспечить необходимые технические и организационные меры в соответствии с проектом Директивы 95/46/ЕС таким образом, чтобы гарантировать защиту прав субъекта данных.

Оператору следует выбирать обработчика исходя из достаточности гарантий при осуществлении технических и организационных мер, соответствующих требованиям проекта Директивы и обеспечивающих защиту персональных данных.

Оператор обработки персональных данных должен предоставлять субъекту персональных данных сведения о том, где и когда его персональные данные были собраны. В дополнение к указанным сведениям оператор обработки данных должен предоставить субъекту персональных данных информацию о целях обработки персональных данных, о получателях или категориях получателей персональных данных, уведомлять о намерениях передачи персональных данных за пределы Европейского союза или в международную организацию, а также информировать о наличии права субъекта персональных данных обращаться к оператору с просьбой исправить или удалить персональные данные, ограничить или исключить их обработку, обращаться в уполномоченный надзорный орган и т. д.

Отметим при этом, что проект Директивы предусматривает право государств – членов ЕС принимать законодательные меры, отлагающие, ограничивающие или опускающие обязательства по предоставлению информации субъекту данных в той степени и так долго, как, к примеру, частичное или полное ограничение прав субъекта данных является необходимым и соразмерным мерам в демократическом обществе, с должным вниманием к законным интересам соответствующего человека, включая случаи:

1) исключения препятствий по официальным или юридическим запросам, расследованиям или процедурам;

2) исключения нанесения ущерба при предотвращении, обнаружении, расследовании и судебном преследовании уголовных преступлений или для исполнения уголовных наказаний;

3) защиты общественной безопасности;

4) защиты национальной безопасности;

5) защиты прав и свобод других лиц.

При этом государствам – членам ЕС предоставляется право определить категории обработки данных, которые могут полностью или частично подпадать под перечисленные выше категории.

Проект Регламента устанавливает, что по общему правилу обработка персональных данных не требует идентификации. Так, если цели, с которыми оператор обработки персональных данных обрабатывает данные, не требуют идентификации субъекта персональных данных оператором, то оператор не должен запрашивать дополнительную информацию и осуществлять дополнительную обработку персональных данных.

Обработчик данных обязуется обеспечить письменное уведомление субъекта данных о любом отказе или об ограничении доступа, о причинах отказа и о возможностях его обжалования в надзорном или судебном органе.

Проект Регламента предусматривает также право субъектов персональных данных подать жалобу в надзорный орган, право юридических лиц и субъектов персональных данных на судебную защиту против надзорного органа, право субъекта персональных данных подать в суд на оператора и обработчика персональных данных, право любой персоны на компенсацию за несоответствующую обработку принадлежащих ей персональных данных.

В Европейском союзе установлена ответственность как за раскрытие персональных данных неограниченному кругу лиц, так и за раскрытие данных конкретным третьим лицам (ст. 16, 17 Директивы 95/46/ЕС), а также предусмотрена ответственность за непринятие мер по защите персональных данных (ст. 23 Директивы 95/46/ЕС).