Państwa Członkowskie podpisały w Dublinie w dniu 15 czerwca 1990 r. Konwencję określającą państwo właściwe dla rozpatrywania wniosków o udzielenie azylu wniesionych w jednym z Państw Członkowskich Wspólnot Europejskich. W celu stosowania tej Konwencji koniecznym stało się ustalenie tożsamości osób ubiegających się o azyl oraz osób zatrzymanych w związku z nielegalnym przekroczeniem granic zewnętrznych Wspólnoty. Ustalenie powyższych okoliczności możliwe jest przy pomocy utworzonego na mocy Rozporządzenia Rady (WE) 2725/2000 systemu Eurodac.

Państwa Członkowskie podpisały w Dublinie w dniu 15 czerwca 1990 r. Konwencję określającą państwo właściwe dla rozpatrywania wniosków o udzielenie azylu wniesionych w jednym z Państw Członkowskich Wspólnot Europejskich. W celu stosowania tej Konwencji koniecznym stało się ustalenie tożsamości osób ubiegających się o azyl oraz osób zatrzymanych w związku z nielegalnym przekroczeniem granic zewnętrznych Wspólnoty. Ustalenie powyższych okoliczności możliwe jest przy pomocy utworzonego na mocy Rozporządzenia Rady (WE) 2725/2000 systemu Eurodac.

Rozporządzenie za cel stawia sobie zapewnienie zarówno efektywnej zgodności z regułami rządzącymi ochroną podstawowych praw i wolności osób fizycznych oraz swobodnego przepływu danych osobowych między Państwami Członkowskimi a instytucjami i organami wspólnotowymi, jak i między instytucjami i organami wspólnotowymi do celów związanych z wykorzystaniem ich kompetencji. Znajduje ono zatem zastosowanie do przetwarzania danych osobowych przez wszystkie instytucje i organy wspólnotowe, o ile takie przetwarzanie jest przeprowadzane podczas wykonywania czynności całkowicie lub częściowo podlegających prawu wspólnotowemu. Rozporządzenie reguluje ogólne zasady legalności przetwarzania danych osobowych, prawa osoby, której dane dotyczą, oraz powołuje urząd Europejskiego Rzecznika Ochrony Danych.

Zawiera definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustala zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych. Określa zasady i warunki zgodności przetwarzania danych osobowych z prawem oraz prawa osób, których dane dotyczą

Dyrektywa 2002/58/WE zobowiązuje państwa członkowskie do zapewnienia ekwiwalentnego stopnia ochrony podstawowych praw i wolności osób fizycznych, a w szczególności prawa do prywatności w odniesieniu do przetwarzania danych osobowych w sektorze komunikacji elektronicznej oraz do zapewnienia swobodnego przepływu tych danych osobowych we wspólnocie. Przepisy niniejszej dyrektywy rozwijają i uzupełniają postanowienia Dyrektywy 95/46/WE w zakresie celów wymienionych wyżej. Ponadto przepisy Dyrektywy 2002/58/WE zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi. Dyrektywa 2002/58/WE uchyla Dyrektywę 97/66/WE z dnia 15 grudnia 1997 r. w sprawie przetwarzania danych osobowych i ochrony prywatności w sektorze telekomunikacyjnym. Uchylenie to nastąpiło z dniem31 października 2003 r.. Do tego czasu państwa członkowskie zobowiązane są wprowadzić w życie postanowienia Dyrektywy 2002/58/WE.

Dyrektywa ta reguluje prawa i obowiązki usługodawców i usługobiorców usług społeczeństwa informacyjnego. Świadczenie usług drogą internetową podlegać powinno zasadzie transparentności usługodawcy i poszanowania prywatności usługobiorcy. Dyrektywa zawiera specjalne zasady ochrony danych osobowych usługobiorcy. Ochrona ta, poza zasadami ogólnymi, polegać powinna na przetwarzaniu danych wyłącznie (z pewnymi wyjątkami) za zgodą usługobiorcy. Dane powinny być ograniczone do niezbędnego minimum, koniecznego do wywiązania się z umowy o świadczenie usługi. Użytkownik powinien mieć prawo korzystania z usług anonimowo lub przy użyciu pseudonimu. W zakresie przetwarzania danych w celu marketingowym w prawie wewnętrznym tych krajów, które wybrały model opt-out, powinna być zagwarantowana możliwość wprowadzenia swojego sprzeciwu na tzw. listę sprzeciwów. Usługodawcy powinni być zobowiązani do regularnego przeglądania list i respektowania złożonych zastrzeżeń.

W Dzienniku Urzędowym Wspólnot Europejskich Serii L Nr 105 z dnia 13 kwietnia 2006 r. opublikowany został tekst Dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE. Dyrektywa ta ma na celu zbliżenie przepisów Państw Członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie generowanych lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego.

W Dzienniku Urzędowym Wspólnot Europejskich Serii L 337/11 z dnia 18 grudnia 2009 r. opublikowany został tekst Dyrektywy 2009/136/WE Parlamentu Europejskiego i Rady z dnia z dnia 25 listopada 2009 r. zmieniającej dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów.

Dyrektywy kierowane są wyłącznie do państw członkowskich. Nie wynikają z nich żadne prawa ani obowiązki dla osób prawnych i fizycznych. Państwo jest zobowiązane, w swoim prawie wewnętrznym, zrealizować wymagania dyrektywy przy czym z reguły obojętna jest forma ich realizacji. Dyrektywa nie należy więc do self-executing law. Może ona być stosowana bezpośrednio jedynie w wypadku, gdy upłynął termin jej realizacji, a państwo nie dokonało jej implementacji lub dokonana implementacja jest wadliwa.

Karta Praw Podstawowych Unii Europejskiej, której projekt uzgodniony został w październiku 2000 r, to dokument przyjęty i uroczyście ogłoszony na szczycie Unii Europejskiej w Nicei, w grudniu 2000 r. Karta określa katalog podstawowych praw i wolności obywatela Unii Europejskiej. Katalog ten, poza wartościami uznawanymi powszechnie przez różne akty prawa międzynarodowego (m.in. prawo do godności osoby ludzkiej, prawo do życia, zakaz tortur i nieludzkiego traktowania, prawo do wolności, rzetelnego procesu), zawiera też prawo do ochrony danych osobowych (zagwarantowane w artykule 8). Karta stała się podstawą do dalszych dyskusji na temat praw i wolności obywatela Unii. Wskazane w niej wartości zainicjowały dyskusję nad ewentualną Konstytucją Unii.