Rättigheterna innebär möjligheten att när som helst återta samtycke till behandling (om det är just samtycke man stödjer behandlingen på), begära att få felaktiga personuppgifter ändrade eller överflödig behandling begränsad, ogrundad behandling raderad och att få personuppgifter flyttade från ert system till en annan aktör (dataportabilitet). Det är viktigt att ni har en tydlig kartläggning och bra kontroll över er personuppgiftsbehandling, för att en begäran från registrerade inte ska medföra allt för tungt administrativt arbete.
Inom ramen för den så kallade informationsplikten måste ni också upplysa om rättigheterna vilket görs i mallarna. Det är dock inte säkert att den personuppgiftsansvarige alltid måste tillmötesgå en begäran om utövande av en viss rättighet. Finns en laglig grund för behandlingen så kan den som utgångspunkt fortsätta.
Tillgång
Den som är registrerad har rätt att få tillgång och insyn i hur dennes personuppgifter behandlas hos er. Utöver er informationsplikt måste ni, om den registrerade begär det, kunna lämna ett utdrag på den personuppgiftsbehandling som berör just denne. Om den registrerade vill ha ytterligare kopior har ni rätt att ta ut en rimlig administrationsavgift för det.
Kopian ska innehålla information om varför ni behandlar personuppgifter, vilken kategori personuppgifterna tillhör (vanliga eller känsliga), er strategi för radering, eventuell förekomst av automatiskt beslutsfattande inklusive profilering och om ni överför uppgifterna till ett personuppgiftsbiträde, särskilt om överföringen sker till tredjeland eller en internationell organisation.
Rätten till tillgång innebär inte att den registrerade har rätt till handlingar där ens personuppgift kan förekomma utan snarare information om själva personuppgiftsbehandlingen i enlighet med informationen ovan.
Rättelse
Om den registrerade meddelar er att ni behandlar felaktiga eller ofullständiga personuppgifter ska ni så snabbt som möjligt rätta till felaktigheterna. Om uppgiften inte kan rättas på en gång, kan den registrerade begära att ni begränsar behandlingen under tiden ni utreder felaktigheterna.
Radering och begränsning
Den registrerade kan under vissa förutsättningar ha rätt till att få sina uppgifter raderade eller att behandlingen begränsas till vissa ändamål. Om behandlingen stöds på ett samtycke från den registrerade, ska behandlingen upphöra och personuppgifterna raderas så fort samtycket återkallas. Detsamma gäller om den registrerade motsätter sig direktmarknadsföring, så som nyhetsbrev eller liknande. Rätt till radering föreligger också om uppgifterna är överflödiga för det syftet som de behandlas, exempelvis om ni har tagit in den registrerades personnummer trots att det hade räckt med mailadress. Om personuppgiften behandlas olagligt eller i strid med en rättslig skyldighet måste ni också radera den.
Om den registrerade begär att ni raderar personuppgifterna måste ni även informera de externa parter som uppgifterna har överlämnats till, i den mån det är möjligt.
Det finns undantag till raderingsrätten om andra rättigheter, så som yttrandefrihet eller informationsfrihet, väger tyngre. Andra tillfällen när ni inte behöver tillmötesgå en begäran om radering är när behandling är nödvändig för att ni ska kunna uppfylla skyldigheter enligt lag eller för att uppfylla en rättslig förpliktelse.
Dataportabilitet
Den registrerade kan be er att föra över sina personuppgifter till en extern part (dataportabilitet) och i den mån det är möjligt ska ni göra det. Poängen är att ni ska underlätta överföring av personuppgifter, men om det inte är tekniskt möjligt för er att uppfylla en sådan begäran, har ni inte heller någon skyldighet att göra det.
Invändningar
Även om ni baserar er behandling på en intresseavvägning kan den registrerade i vissa fall invända mot behandlingen. Det kan exempelvis röra sig om att en medlem i organisationen inte längre vill ta del av marknadsföring från er.