GDPR được thiết kế để giúp bảo vệ quyền cá nhân. Như vậy, các cá nhân là chủ thể thông tin có các quyền được quy định bởi GDPR, đó là: được biết, được truy vấn, được chỉnh sửa thông tin, xóa thông tin, từ chối cung cấp, hạn chế xử lý, di chuyển dữ liệu, và cả các quyền liên quan đến xử lý dữ liệu tự động.
Quyền được biết: Người dùng được quyền biết thông tin cá nhân của mình được thu thập bằng cách nào, mục đích sử dụng các loại thông tin, lý do thông tin được thu thập và các phương pháp xử lý dữ liệu cá nhân sau đó. Chủ thể dữ liệu có quyền được thông báo về dữ liệu cá nhân khi có sự kiện xử lý liên quan.
Quyền truy vấn thông tin: Chủ thể dữ liệu có quyền yêu cầu công ty cung cấp toàn bộ thông tin cá nhân đã được thu thập và nội dung này phải được gửi đến họ trong vòng 30 ngày. Trước đây, người đưa ra yêu cầu này phải trả phí nhưng GDPR cho phép cá nhân hỏi thông tin của mình miễn phí.
Quyền được chỉnh sửa thông tin: Chủ thể dữ liệu có quyền yêu cầu các cơ quan, tổ chức chỉnh sửa những thông tin đã cung cấp theo đúng ý mình. Các tổ chức, doanh nghiệp phải cho phép chủ thể dữ liệu cá nhân sửa đổi, xóa dữ liệu do tổ chức, doanh nghiệp lưu trữ.
Quyền được từ chối cung cấp thông tin: Trong trường hợp chủ thể dữ liệu từ chối không muốn các công ty sử dụng hoặc thu thập thông tin của mình thì họ phải tuyệt đối tuân theo. Dữ liệu chỉ được chia sẻ khi chủ thể dữ liệu cá nhân đồng ý và chủ thể dữ liệu cá nhân có thể rút lại sự đồng ý trước đó.
Quyền được xóa dữ liệu: Chủ thể dữ liệu được quyền yêu cầu các công ty xóa bỏ những thông tin mình đã cung cấp trong quá khứ, kể cả các bài đăng cũ trên các trang mạng xã hội; dừng chia sẻ dữ liệu và có thể yêu cầu bên thứ ba ngưng xử lý dữ liệu.
Khi một người đưa ra yêu cầu này, họ có quyền hợp pháp được cung cấp xác nhận rằng một tổ chức đang xử lý dữ liệu cá nhân của họ, một bản sao của dữ liệu cá nhân này và bất kỳ thông tin bổ sung nào khác có liên quan đến yêu cầu. Ngoài thông tin được yêu cầu, một tổ chức phải cung cấp thông tin chi tiết về lý do tại sao họ xử lý thông tin cá nhân, cách thông tin được sử dụng và thời hạn lưu giữ thông tin. Nếu người dùng yêu cầu mà không được thực hiện hoặc cơ quan nắm giữ dữ liệu không cung cấp kết quả mà người dùng mong muốn, thì công ty đó có thể bị khiếu nại lên cơ quan quản lý dữ liệu của nước đó.
Trên thực tế, mọi người đã sử dụng thành công quyền này để tìm ra các công ty công nghệ thông tin nắm giữ về họ. Tinder đã gửi cho một người 800 trang thông tin về việc họ sử dụng ứng dụng của nó, bao gồm chi tiết về trình độ học vấn, thứ hạng tuổi của những người họ quan tâm. Các mục đích sử dụng khác đã tiết lộ mức độ chi tiêu cho FIFA và mỗi cú nhấp chuột được thực hiện khi mua sắm trên trang web của Amazon.
Quyền di chuyển dữ liệu: Tính di động của dữ liệu đã là một trong những từ thông dụng của GDPR nhưng lại ít được áp dụng trên thực tế. Lý thuyết là có thể chia sẻ thông tin từ dịch vụ này sang dịch vụ khác. Một trong những ví dụ tốt nhất về chia sẻ dữ liệu là khả năng Facebook tự động chuyển ảnh của bạn sang tài khoản Google Photos. Điều này được tạo ra bởi Dự án truyền dữ liệu bao gồm Apple, Google, Facebook, Twitter và Microsoft.
Quyền xử lý dữ liệu tự động: GDPR cũng củng cố quyền của một người đối với việc xử lý dữ liệu tự động. Các cá nhân "có quyền không tuân theo quyết định" nếu quyết định đó là tự động và nó tạo ra ảnh hưởng đáng kể đối với họ. Có một số trường hợp ngoại lệ nhất định nhưng nhìn chung mọi người phải được giải thích về bất kỳ quyết định nào đưa ra đối với dữ liệu của họ.
Cơ quan chủ quản: Văn phòng Quốc hội
