3 Nærmere om innholdet i direktivet
Kapittel I omhandler formål, virkeområde og definisjoner. Den største forskjellen mellom direktivet og rammebeslutningen er anvendelsesområdet. Rammebeslutningen gjaldt i utgangspunktet bare for behandling av opplysninger som utveksles mellom medlemslandene, mens direktivet også gjelder for den nasjonale behandlingen av opplysninger. Nasjonale sikkerhetsmyndigheters behandling av personopplysninger var ikke omfattet av rammebeslutningen, og denne behandlingen ligger også utenfor direktivets anvendelsesområde.
Kapittel II inneholder grunnleggende bestemmelser om rettmessighet, forholdsmessighet og formålsbestemthet ved behandling av opplysninger, herunder at opplysningene må være relevante og tilstrekkelige. Nytt er at det i større grad skal skilles mellom kategorier av registrerte, for eksempel om en person er mistenkt, straffedømt eller vitne, og at det i større grad skal skilles mellom fakta og vurderinger. Videre regnes nå også biometri, DNA og seksuell orientering som sensitive opplysninger, der det oppstilles et strengere nødvendighetskrav enn ved behandling av andre opplysninger.
Kapittel III inneholder regler om informasjonsplikt, innsyn, retting, sletting og sperring. I tillegg er det gitt regler om den registrertes utøvelse av rettigheter gjennom tilsynsmyndigheten og særregler for behandling av opplysninger i straffesaker. Nytt er at det gis regler om informasjonsplikt, som i rammebeslutningen var overlatt til nasjonal lovgivning. Utover dette er det nytt at grunnløse eller gjentatte begjæringer om innsyn mv. kan avvises, og i tillegg er det gitt noe mer detaljerte saksbehandlingsregler.
Kapittel IV omhandler hvilke plikter som pålegger den behandlingsansvarlige og databehandleren, krav til informasjonssikkerhet og personvernrådgiverordning. Nytt er at det legges opp til en obligatorisk personvernrådgiverordning, og at den registrerte som hovedregel skal varsles ved personvernbrudd. Nytt er også at det skal foretas en konsekvensutredning ved etablering av nye registre. Sistnevnte må ses i sammenheng med at forordning (EU) 2016/679 ikke har videreført den tidligere melde- og konsesjonsplikten for etablering av registre som fulgte av direktiv 95/46/EF. Rammebeslutningen hadde ingen tilsvarende bestemmelser.
Kapittel V inneholder generelle prinsipper om utlevering av opplysninger til tredjeland og internasjonale organisasjoner. Bestemmelsene berører imidlertid ikke avtaler som medlemslandene tidligere har inngått med tredjeland.
Kapittel VI omhandler uavhengige tilsynsmyndigheters kompetanse, oppgaver og virkemidler. Nytt er at tilsynsmyndighetene kan avvise eller kreve gebyr når den registrerte fremsetter grunnløse eller gjentatte begjæringer om kontroll.
Kapittel VII regulerer gjensidig bistand mellom tilsynsmyndighetene, både nasjonalt og mellom medlemslandene.
Kapittel VIII regulerer den registrertes rett til å klage til tilsynsmyndigheter, retten til å saksøke både tilsynsmyndigheten, behandlingsansvarlig og databehandleren. I tillegg inneholder kapittelet bestemmelser om erstatning og sanksjoner. Nytt er at den registrerte har rett til å saksøke databehandleren. En tilsvarende bestemmelse finnes også i forordningen.
Det fremgår av artikkel 63 at medlemsstatene skal treffe de nødvendige tiltakene for at bestemmelsene i direktivet gjennomføres innen 6. mai 2018, og at medlemslandene sender Kommisjonen sitt nasjonale regelverk der bestemmelsene i direktivet er gjennomført.