В российском законодательстве отсутствует прямой аналог нормы об обязательном информировании уполномоченного органа и субъекта данных об инциденте, что с учетом именно общей направленности на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных» (ст. 2) снижает возможность надлежащей обработки данных. Как указано выше, своевременное уведомление создает презумпцию того, что действия были совершены надлежащим образом, и уменьшает вину оператора или обработчика.
По общему правилу, обработка, в том числе передача, персональных данных требует согласия субъекта данных.
Во исполнение закона Нидерландов принят Указ об изъятиях, который устанавливает категории данных, в отношении которых при обработке не требуется предварительное уведомление. Например, обработка данных должников и кредиторов, клиентов не влечет обязательного уведомления. При этом изъятия не действуют, если при трансграничном перемещении данных в зарубежной стране за пределами ЕС не установлен адекватный уровень их защиты. В самом законе устанавливаются исключения, связанные с государственной безопасностью, расследованием уголовных преступлений, значительными экономическими или финансовыми интересами государства или защитой самого субъекта или других лиц (ст. 43).
Правила обработки данных также схожи с правилами Директивы 1995 г.: основным принципом остается законный интерес в качестве основания для обработки нечувствительных персональных данных.
Режим защиты персональных данных распространяется на любую обработку данных, в результате которой можно получить информацию о лице.
Например, запрет обработки чувствительных данных распространяется и на «непрямые чувствительные данные», т. е. на данные, из которых можно вывести прямые. Так, например, письмо из религиозной организации раскрывает данные о религиозной принадлежности адресата (ст. 17 закона). В отношении чувствительных данных действует общий запрет на их обработку с разумными исключениями (например, религиозные организации могут проводить обработку данных в целях, связанных с их деятельностью).
1.5.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Анализ метаданных в Нидерландах регулируется не Законом о персональных данных, а Законом о сохранении данных о нагрузке линий связи (Telecommunications Data Retention Act) 2009 г.[85], принятым в рамках имплементации Директивы 2006/24/ЕС о сохранении данных. Принятие же Директивы было вызвано терактами, случившимися в Мадриде в 2004 г. и в Лондоне в 2005 г.
Закон о сохранении данных налагает обязательство на операторов и интернет-провайдеров удерживать данные о пользователях от шести (через Интернет) до двенадцати месяцев (через телефонные сети) с даты коммуникации в целях расследования,