Privacyrechten
De AVG kent betrokkenen onder meer onderstaande rechten toe.
Recht op inzage
Het recht van toegang (artikel 15) is een recht van de betrokkene. Dit geeft burgers het recht om toegang te krijgen tot hun persoonlijke gegevens en informatie over de manier waarop deze persoonsgegevens worden verwerkt. Een voor de verwerking verantwoordelijke moet op verzoek een overzicht verstrekken van de categorieën gegevens die worden verwerkt (artikel 15, lid 1, onder b)) en een kopie van de feitelijke gegevens (artikel 15, lid 3). Daarnaast moet de verantwoordelijke voor de verwerking de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is (artikel 15, lid 1, onder a)), met wie de gegevens worden gedeeld (artikel 15, lid 1, onder c)) en hoe de gegevens zijn verkregen (artikel 15, lid 1, onder g)).
Recht op vergetelheid
Het recht om te worden vergeten werd vervangen door een beperkter recht op schrapping in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen. Artikel 17 bepaalt dat de betrokkene het recht heeft om op een van een aantal gronden te verzoeken om verwijdering van hem betreffende persoonsgegevens, waaronder niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen (zie ook Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).
Recht op rectificatie en aanvulling
Een betrokkene heeft het recht dat een organisatie op verzoek zijn gegevens corrigeert. Wanneer het gaat om subjectieve informatie zoals een functievervullingsformulier of een psychologisch rapport, dan hoeft een organisatie het oordeel niet bij te stellen. Wel mag een betrokkene vragen om de tekst aan te vullen met jouw visie op de zaak.
Recht op dataportabiliteit
Een betrokkene moet door hem verstrekte persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere kunnen overdragen, zonder door de verantwoordelijke voor de verwerking te worden verhinderd. Geanonimiseerde gegevens en gegevens die niet op de betrokkene zelf zien vallen buiten dit zogenaamde recht op dataportabiliteit. Gepseudonimiseerde gegevens en gegevens van derden die duidelijk aan de betrokkene gekoppeld kunnen worden (bijvoorbeeld doordat de betrokkene aanvullende gegevens verschaft, vgl. artikel 11, tweede lid) komen wel in aanmerking. Zowel gegevens die door de betrokkene "verstrekt" zijn, als "waargenomen" gegevens – bijvoorbeeld over zijn gedrag – vallen binnen de omvang van dit recht. Dit geldt niet voor afgeleide gegevens, zoals een op basis van het bezoekersgedrag opgebouwd interesseprofiel.
De gegevens moeten door de verwerkingsverantwoordelijke worden verstrekt in een gestructureerde en algemeen gebruikte elektronische open standaard. Het recht op gegevensoverdraagbaarheid is vastgelegd in artikel 20 van de AVG. Juridische deskundigen zien in de definitieve versie van deze maatregel een "nieuw recht" dat "verder reikt dan de portabiliteit van gegevens tussen twee voor de verwerking verantwoordelijken, zoals bepaald in [artikel 20]".
Recht op beperking van de verwerking
Een betrokkene heeft het recht om de verwerking van zijn gegevens door een organisatie te beperken. Bijvoorbeeld omdat er een juridische procedure loopt, of wanneer de gegevens niet kloppen maar de correctie nog niet is verwerkt of wanneer de organisatie de gegevens gebruikt voor een doel waarvoor hij ze niet mag gebruiken. Bijvoorbeeld in het geval dat betrokkene de organisatie een mailadres heeft gegeven om een afspraak met een monteur te maken, en de organisatie het adres gebruikt om marketingmails te sturen.
Recht op een menselijke blik bij besluiten
Bij geautomatiseerde besluitvorming heeft betrokkene het recht om bezwaar te maken tegen het besluit en te vragen om een nieuw besluit, genomen met tussenkomst van een menselijke blik. Deze situatie komt veel voor bij de automatische acceptatie - en weigering - van verzekerden door een verzekeraar.
Recht van bezwaar
Een betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn gegevens. Bij direct marketing is dit een absoluut recht: de organisatie moet dit bezwaar altijd respecteren. In andere situaties geldt een afweging van de belangen van de betrokkene tegen de belangen van de organisatie. Wanneer de procedure loopt, mag de organisatie de gegevens van de betrokkene niet verwerken.