De algemene verordening gegevensbescherming bestrijkt een aantal essentiële kwesties.
Rechten van de betrokkene
De verordening geeft een overzicht van de rechten van de betrokkene, dat wil zeggen de natuurlijke persoon van wie de persoonsgegevens worden verwerkt. Met deze versterkte rechten krijgen natuurlijke personen meer controle over hun persoonsgegevens. Zo wordt onder meer voorzien in:
- verplichte duidelijke toestemming van de natuurlijke persoon voor de verwerking van persoonsgegevens
- eenvoudigere toegang voor de betrokkene tot zijn persoonsgegevens
- het recht op rectificatie, het recht op wissing en het recht op vergetelheid
- het recht om bezwaar te maken, onder meer tegen het gebruik van persoonsgegevens met het oog op "profilering"
- het recht om gegevens mee te nemen van de ene dienstverlener naar de andere.
Tevens worden verwerkingsverantwoordelijken ertoe verplicht aan de betrokkenen transparante en gemakkelijk toegankelijke informatie over de verwerking van hun gegevens te verstrekken.
Naleving
De verordening geeft een nauwkeurige omschrijving van de algemene verplichtingen van de verwerkingsverantwoordelijken en van degenen die de persoonsgegevens namens hen verwerken (verwerkers). Daarbij gaat het onder meer om de verplichting om passende veiligheidsmaatregelen toe te passen, die in verhouding staan tot het risico dat aan de door hen verrichte gegevensverwerkingsactiviteiten verbonden is (risicogerichte aanpak). In bepaalde gevallen moeten verwerkingsverantwoordelijken betrokkenen ook in kennis stellen van inbreuken in verband met persoonsgegevens. Alle overheidsinstanties en de ondernemingen die bepaalde risicovolle gegevensverwerkingsactiviteiten verrichten, zullen ook een functionaris voor gegevensbescherming moeten aanwijzen.
Toezicht en schadevergoeding
De ontwerpverordening bevestigt de bestaande verplichting van de lidstaten om op nationaal niveau eenonafhankelijke toezichthoudende autoriteit op te richten. Tevens is het de bedoeling mechanismen in te stellen die moeten zorgen voor een samenhangende toepassing van de wetgeving inzake gegevensbescherming in de hele EU. Met name in grensoverschrijdende gevallen, waarbij verschillende nationale toezichthoudende autoriteiten betrokken zijn, wordt één toezichtsbesluit genomen. Dit beginsel, ook bekend als het "éénloketsysteem" (one-stop shop), houdt in dat een onderneming met dochterondernemingen in verschillende lidstaten alleen te maken zal hebben met de gegevensbeschermingsautoriteit in de lidstaat waar zich haar hoofdvestiging bevindt.
Het ontwerpakkoord omvat de oprichting van een Europees Comité voor gegevensbescherming. Dit comité zal bestaan uit vertegenwoordigers van alle 28 onafhankelijke toezichthoudende autoriteiten, en zal in de plaats komen van het bestaande Comité van artikel 29.
Betrokkenen krijgen het recht bij een toezichthoudende autoriteit een klacht in te dienen, en om beroep in te stellen; de verordening voorziet tevens in een recht op vergoeding en in een aansprakelijkheidsregeling. Om natuurlijke personen te betrekken bij besluiten die hen aanbelangen, zullen zij het recht hebben een besluit van hun gegevensbeschermingsautoriteit door hun nationale rechterlijke instantie te laten toetsen. Daarbij doet het niet ter zake in welke lidstaat de verwerkingsverantwoordelijke gevestigd is.
De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. Zo kan de boete voor verwerkingsverantwoordelijken oplopen tot € 20 miljoen of 4% van hun algemene jaaromzet. Deze administratieve sancties zullen worden opgelegd door de nationale gegevensbeschermingsautoriteiten.
Doorgiften aan een derde land
De verordening heeft ook betrekking op de doorgifte van persoonsgegevens aan derde landen en internationale organisaties. De Commissie krijgt hiervoor de taak te onderzoeken welke graad van bescherming een grondgebied of een verwerkingssector in een derde land biedt. Als de Commissie (nog) niet heeft beslist of gegevens in een bepaald(e) gebied of sector voldoende worden beschermd, kunnen persoonsgegevens toch worden doorgegeven in bijzondere gevallen of wanneer er passende waarborgen zijn (standaardbepalingen voor gegevensbescherming, bindende bedrijfsvoorschriften, contractuele bepalingen).