Zaštita podataka tema je o kojoj se već dulje vrijeme govori, a obuhvaća prilično veliko područje i kao takva, često donosi nedoumice. Prikupljanja osobnih podataka, njihova pohrana i upravljanje njima utvrđeni su Općom uredbom o zaštiti podataka, a primjenjuju se na europske organizacija koje obrađuju osobne podatke osoba u Europskoj uniji te na organizacije izvan Unije koje su usmjerene na osobe koje žive u Europskoj uniji.
Opća uredba o zaštiti podataka primjenjuje se ako poduzeće obrađuje osobne podatke i registrirano je u Europskoj uniji, bez obzira na to gdje se odvija sama obrada podataka te ako je poduzeće registrirano izvan Europske unije, ali obrađuje osobne podatke u vezi s ponudom robe i usluga pojedincima u Europskoj uniji ili pak prati ponašanje osoba unutar Unije. Poduzeća registrirana izvan Europske unije koja obrađuju osobne podatke građana EU-a moraju imenovati predstavnika u EU.
Postoje i slučajevi u kojima se Opća uredba o zaštiti podataka ne primjenjuje, a to je ako je ispitanik pravna osoba, ako je mrtav ili ako obradu obavlja osoba koja djeluje u svrhe koje ne ulaze u okvir njezine stručne, poslovne i profesionalne djelatnosti.
Kada govorimo o Općoj uredbi, važno je definirati i što su to osobni podaci, a to su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi – ime i prezime, adresa, broj osobnih isprava, primanja, kulturni profil, IP adresa, podaci u posjedu bolnice ili liječnika koji služi kao jedinstvena identifikacijska oznaka u zdravstvene svrhe.
Pri svemu tome potrebno je paziti na posebne kategorije podataka pa se tako ne mogu obrađivati podaci o nečijem rasnom ili etničkom podrijetlu, spolnoj orijentaciji, političkim stavovima, vjerskim ili filozofskim uvjerenjima, članstvu u sindikatu, genetskim, biometrijskim, zdravstvenim podacima osim u posebnim slučajevima kad je izdana izričita privola ili je obrada u znatnom javnom interesu te osobne podatke vezane uz kaznene osude i djela, osim ako to nije dopušteno pravom EU-a ili nacionalnim pravom.
Kod obrade podataka djece važe posebna pravila i za takve je slučajeve potrebno ishoditi privolu roditelja.
Kako sve to ne bi ostalo visiti u zraku i budući da tijekom obrade osobni podaci mogu proći kroz više različitih poduzeća i organizacija, postoje ključne uloge u obradi, a to su voditelj obrade podataka koji odlučuje o svrsi i načinu obrade podataka te izvršitelj obrade podataka koji čuva i obrađuje podatke u ime voditelja obrade podataka. Unutar poduzeća, za nadzor nad obradom podataka te za informiranje i savjetovanje radnika koji obrađuju osobne podatke odgovoran je službenik za zaštitu podataka. On surađuje s tijelom za zaštitu podataka i kontaktna je točka, a imenuje se ako poduzeće redovito ili sustavno prati pojedince ili obrađuje posebne kategorije podataka, ako je obrada podataka temeljna poslovna aktivnosti poduzeća ili ako poduzeće obrađuje velik broj podataka.
Treba imati na umu kako pravila Europske unije o zaštiti podataka propisuju da se podaci trebaju obrađivati na pošten i zakonit način za određenu i legitimnu svrhu, a obrađuju se samo podaci neophodni za tu svrhu. Za obradu osobnih podataka potrebno je osigurati da je ispunjen jedan od uvjeta: privola predmetnog pojedinca, osobni podaci su potrebni za ispunjavanje ugovorne obveze prema pojedincu ili ispunjavanje zakonske obveze ili za zaštitu životnog interesa pojedinca, podaci se obrađuju u okviru zadaće od javnoga interesa ili se djeluje u ime legitimnih interesa poduzeća pod uvjetom da time nisu ozbiljno narušena temeljna prava i slobode pojedinca čiji se podaci obrađuju.
I na kraju posljednje, ali ne manje važno – osobama čiji se podaci obrađuju potrebno je pružiti informacije o tome tko obrađuje njihove osobne podatke i zašto.