欧盟数据保密法规

在 EEA（欧盟以及挪威、瑞士和列支敦士登）经商的所有公司都受欧盟数据保密法规的约束。保留包含零售客户（消费者）数据的数据库的公司需要承担特殊义务。所有向美国传送个人数据并且总部设在欧盟的公司都须遵守欧盟数据保密规则。

欧盟数据保护法令

在欧盟，隐私权被视为一项基本人权，因此享有特殊保护。为协调欧盟的法律条款，通过了一项欧盟数据保护法令。欧盟全部 27 个成员国的法律系统都已实施这项法令。这意味着每个欧盟国家都制定有专门针对个人数据保护的法律。

全欧盟的法律都以欧盟数据保护法令为基础，但欧盟各成员国的法律并不完全相同。这些法律之间存在着重要差异。尽管基础相同，但一些国家采用更宽大的态度，而其它国家则较为拘泥形式。应该逐个国家地进行符合性评估。

数据隐私监管机构

在每个欧盟成员国，都任命了一个独立的监管机构来处理与数据隐私有关的问题。这些监管机构在控制与数据保密法规的符合性方面通常享有广泛的管辖权，在这些法规的执行上发挥着重要作用。

受保护的数据

一般来说，与有身份的个人有关的所有信息都被视为个人数据。不过，在有关法人的数据（在大多数国家，此类数据被排除在受保护范围以外）和商业联系人数据的保护方面，欧盟内仍存在着一些差异。有关零售客户的数据和有关人事的数据明确被视为个人数据。

控制机构与处理机构

个人数据控制机构与处理机构之间进行了重要的区分。控制机构是指决定数据处理的范围、数据处理的目的，并对数据处理运营进行总体管理的实体。处理机构是指向控制机构提供涉及个人数据处理的特定服务，但不作战略决策的实体。这种区分具有重要意义，因为控制机构对履行与数据处理有关的相当数量的法定义务负有法律责任，而处理机构则不负有这样的责任。

欧盟的数据处理

在欧盟，只允许在有限的范围内对个人数据进行处理。最广泛也是最安全的做法是征得相关个人的同意，即决定参加系统。尽管如此，并非在任何情况下都要征得同意。个人数据的处理基于均衡性原则，即只有在达成目标上存在客观必要性的情况下，处理机构才会获得数据处理授权。在大多数欧盟国家，数据隐私监管机构需要了解每个数据库的情况（存在某些例外情况）。

人事数据的处理需要给予特别关注。一些欧盟成员国采取的立场是，按照特定法规的规定，雇主仅获准对有限数量的个人数据相关信息进行处理。各公司通常使用雇员同意书来征得相关雇员的同意，以进行各种数据处理操作—但在某些欧盟成员国（如波兰），雇员同意的有效性目前仍受质疑。

敏感数据

敏感数据的概念较为宽泛，涵盖种族或民族本源、宗教或意识形态信仰、健康状况和健康信息、工会成员资格、政治偏好、性偏好、有关犯罪计数的数据等信息。一般而言，按照欧盟法规的规定，除非满足特定限制性条件，否则禁止处理此类数据。因此，在美国处理的某些信息不能在欧洲以同样方式进行处理。

向美国传送个人数据

按照欧盟法规的规定，从欧盟数据隐私法规的角度来看，不能将美国视为“能够确保足够程度保护”的国家。因此，向美国传送数据必须遵从特殊法规的规定。如果数据的输入者（美国的公司）不受美国联邦贸易委员会运营的安全港计划的保护，所涉及的公司通常需要获得数据隐私监管机构的授权，或征得相关个人的明确同意。

示范条款

为简化欧盟与诸如美国之类国家之间个人数据的传送，欧洲委员会实行了一套针对数据传送的示范性合同条款。上述条款被公认为能够提供足够的保障，尽管并不总是能够避免进行数据传送授权申请。