欧洲数据保护法一直为个人提供一系列具有强制执行力的权利用于限制处理数据的机构，以保护数据主体的基本权利。与之前的数据保护法律相比，GDPR为数据主体提供了更为广泛的权利，使其更加复杂和具有深远意义。这些GDPR第12至23条规定的数据主体权利，不仅可以限制机构合法处理个人数据的能力，还可能对机构的核心业务流程甚至业务模式产生重大影响。这些权利大致包括如下内容：

第12-14条:透明化沟通和信息的权利

第15条:访问权

第16条:纠正权

第17条:删除权(“放弃权”)

第18条:限制处理的权利

第19条:通知接收人的义务

第20条:数据可携带权

第21条:反对权

第22条:不受自动化决策影响的权利(用户画像)

GDPR第12(2)条要求组织为数据主体权利的行使提供便利。根据GDPR的规定，数据控制人应使用所有合理的手段来验证数据主体的身份。因此， 如果数据控制人对数据主体的身份有合理的怀疑， 数据控制人可以要求数据主体提供必要的附加信息。

另一个操作层面的问题在于回应数据主体关于其数据主体权利的时间。GDPR第12(3)条规定了回应数据主体关于实现其数据主体权利要求的时间期限：一般情况下数据控制人应当自收到数据主体的要求起一个月内对该要求作出回应，特殊情况下或数据主体的要求过于复杂的情况下可以延长最多两个月。在收到数据主体要求的第一个月内， 组织必须决定它是否可以对数据主体的请求采取行动——如果组织决定不满足数据主体的请求，则必须通知数据主体 ，并告知他们有向监管机构提出投诉的权利。

就向数据主体作出回应的形式而言，GDPR旨在建立并依赖于基于技术的流程，即以电子方式接收的请求应该以电子方式回答，除非数据主体需要其他形式的内容。虽然这似乎是一个简单的要求，但公司不应低估潜在的安全的影响。由于电子邮件加密仍然没有被广泛使用的，因此当以电子方式交付信息时公司将面临为敏感信息提供安全通信的挑战。

正如前一章所讨论的，透明度是任何数据保护系统的基础，因为如果无法被适当地告知数据控制人的数据处理活动，个人的隐私权就无法得到保证。实质上，GDPR确立了数据主体的权利，要求数据主体拥有所需的所有资料，以便了解数据处理的性质，并进一步行使其的法定权利。因此，GDPR第12(1)条要求组织传达的任何信息都应以“简洁、透明、易懂和容易获取的形式，使用清晰和简单的语言”提供。

根据GDPR第13条，数据主体有权获得某些描述其与数据控制人关系的信息。这包括数据控制人的身份和联系方式，处理其个人数据的原因或目的，这样做的法律基础，个人数据的接收人(特别是如果这些接收人居住在第三国)，以及确保公平和透明处理数据所需的其他相关信息。此外根据第14条，如果从第三方收集或获得数据，控制者必须识别数据的来源，以便有效地使数据主体能够行使其权利。

GDPR第15条所规定的查阅权在某种意义上是对第13条和14条中较为被动的信息权的主动对应。数据主体有权从数据控制人处获得与他们有关的个人数据是否在被处理的信息。在这种情况下，除提供查阅个人资料外，数据主体有权获得下列资料：

1、数据处理的目的

2、有关个人数据的类别

3、个人数据接收人或个人数据已披露或将会披露的接收人类别，特别是当数据接收人位于第三国或其他国际组织的

4、个人数据的预期储存期 ，或用以确定储存期的准则

5、数据主体有权要求数据控制人纠正或删除个人数据或限制处理与数据主体有关的个人数据或反对此类处理的信息

6、数据主体有权向监管机构投诉的权利

7、如果个人资料不是从数据主体处收集的，提供关于其来源的信息

8、当存在GDPR第22(1)和(4)条所述的自动数据处理时，需提供在这些自动处理的情况下所涉及的处理逻辑，以及这种处理对数据主体的意义和预期后果

在实践中，这些类型的请求可能会给组织带来巨大的管理负担，因此他们应该预先考虑需要准备什么样的流程来协助完成这些数据主体的请求。这些流程应包括对下列问题的务实解决办法：

1、建立的流程必须确保组织在收到数据主体访问请求后的一个月内回应。因此需要定期部署工单系统或类似的技术解决方案。由于只有在申请比较复杂，或机构收到同一个人多次提出申请的情况下，才有可能将时限再延长两个月，因此应事先考虑这些情况，并设定适当的内部时限。

2、此外，如果对提出请求的个人的身份有任何合理的怀疑，在组织向提出请求的一方要求更多的信息时，对该请求的处理过程必须暂时暂停。需要注意的是，组织只能要求对确定请求方是谁有必要的信息，需要考量要求额外信息的相称性。

3、当组织处理数据主体的请求是关于未成年人的数据主体权利时，需要特别注意处理该请求过程中的细节。当向孩子披露信息时，应该强调使用特别清楚和简单的语言 ，并且在响应数据主体的访问请求以获得关于孩子的信息之前，必须根据孩子是否足够成熟对他们是否了解自己的数据主体权利进行评估。在某些情况下，由父母代表他们行使孩子数据主体权利是明显符合孩子最大利益的。

4、当披露任何信息时，组织必须考虑一个人的访问请求是否包括关于其他人的信息 ，在这种情况下，其他人的数据主体权利必须得到充分保护。在某些情况下，这可能需要数据在披露之前被编辑，或者，如果临时进行编辑是不可能的或显然不合理的， 那么在允许该数据主体查阅数据前应当征得其他数据主体的同意。

5、关于代理的访问请求，请注意GDPR实际上并不禁止个人通过第三方发出查阅数据的请求。第三方可能是律师，会计师或任何其他代表数据主体的人。在这种情况下，组织应当积极确认该第三方有权代表数据主体提出查阅请求。虽然提供享有代理权的证据是第三方的责任，但作为数据处理过程的一部分， 组织应清楚地记录代理请求的性质，并保留相关的权利证明。显然，由于这种记录的过程构成了一个新的数据处理行为，代表数据主体行使代理权的个人应该被充分告知。

6、最后，如果机构认为一个主题访问请求明显是没有法律依据的或过度的，它可以要求一个“合理的 费用”来处理该请求或拒绝处理该请求。在 的任何一种情况下，它需要证明其决定，并彻底记录评估所依据的事实和过程。

数据主体有权对不准确的个人数据进行纠正，数据控制人必须确保不准确或不完整的数据被清除、修正或校正。例如，一个人被放在一个类别中，这说明了他执行一项任务的能力，而这个分类是基于不正确的信息作出的，那么数据主体就有权提出纠正。纠正数据库中的错误或填写不完整的信息，对于组织来说，通常不是 一个单独的、孤立的问题。个人数据通常是相互链接和处理的，因此对任何数据块的任何更改都可能产生广泛的后果。

组织的流程必须考虑到，在 GDPR下，任何个人都可以口头或书面提出纠正请求，并且组织必须在收到请求的一个月内作出反应。如果组织决定拒绝纠正请求，必须立即告知数据主体不进行纠正的原因，以及告知他们有向主管数据保护当局(DPA)提出投诉的权利，以及他们享有通过司法救济寻求执行这一权利的权利。这种沟通应该形成文件，以帮助组织对不合规的指控进行辩护。显然，由于这需要进一步处理个人数据，个人也应在这方面得到充分的通知。

如果组织决定执行错误信息的纠正，但该信息曾经向其他第三方公开，组织需要向这些第三方告知信息纠正的事实。如果向这些第三方的告知成本过高或者几乎不可能实现，则组织需要详细记录这些情况以在未来证明自己的合规性。

所谓的被放弃权可能是欧盟委员会最初GDPR提案中最重视的方面之一。第17(1)条规定，在下列情况下，数据主体可在任何时间以书面或 口头要求删除其个人数据：

1、数据不再需要用于其原始目的，也不存在新的合法目的

2、数据处理最初依赖的合法依据是数据主体的同意，数据主体撤回同意，不存在其他合法依据

3、数据主体行使异议权反对数据处理，数据控制人无凌驾性理由继续处理

4、数据被非法处理

5、为了符合欧盟法律或相关成员国的国内法，删除是必要的

此外，GDPR第17(2)条要求，如果数据控制人已将任何个人数据公开(例如，在电话簿或社交网络中)，并且数据主体行使删除权，数据控制人必须采取合理的步骤(包括应用技术解决方案，但需要考虑到成本)，通知作为数据控制者处理该已公布的个人数据的第三方，数据主体已行使删除权。考虑到在立法过程中被放弃的权利是多么突出，似乎有理由认为，监管机构将强调充分尊重这一权利的重要性。

此外，必须指出的是，GDPR非常强调应要求删除儿童个人数据的权利，这明确重申了GDPR下加强保护儿童信息的目标，特别是在网络环境中。因此，如果数据的处理是基于儿童的同意，组织应该特别重视任何删除的请求，即使请求者已经不再是儿童，因为在过去，他们可能没有完全意识到在同意时处理数据所涉及的风险。

删除权的豁免列在GDPR第17(3)条中，该条款允许组织在必要的数据处理情况下拒绝数据主体的删除请求：

1、行使言论自由和新闻自由的权利

2、为了遵守欧盟或成员国的法律义务，或为了执行公共利益的任务，如公共卫生、存档和科学、历史研究或统计目的;

3、为了法律诉讼或应对指控

GDPR亦赋予数据要求提供有关个人资料已披露予收件人的身分的资料的权利。对此，GDPR第19条要求，如果数据控制人向特定的第三方披露了个人数据，并且数据主体随后行使了纠正、删除或阻止的权利，控制者必须将数据主体行使这些权利的情况通知这些第三方。只有在不可能遵守或遵守要求成本过于高昂的情况下，数据控制人才能免除该义务，而免除的理由必须由数据控制人充分证明。

最后，与删除权最相关的问题之一是，即这是否包括从备份系统中删除。一般来说，如果一个组织收到有效的删除请求，如果没有豁免申请，它将不得不采取足够的 步骤以确保从其所有系统删除-包括从备份档案中删除。当然，是否要从备份系统中删除要取决于具体情况，如果数据控制人决定暂不从备份系统中删除，必须标记相应的备份数据集，并且组织的流程必须建立起一种流程，以确保在不彻底检查是否符合该特定数据主体权利的情况下，这些标记的备份不能被恢复。

GDPR第18条规定。在下列情况下，数据主体有权限制其个人数据的处理：

1、数据的准确性受到质疑(并且只在需要验证准确性的时间内)

2、数据处理是非法的，数据主体要求限制(与行使删除权相反)

3、数据控制人不再需要该数据用于其原始用途，但数据主体仍要求该数据用于法律诉讼、行使辩护权或维护法律权利

4、当数据主体提出删除请求但数据控制人可能存在有其他理由拒绝删除的时，可以行使限制处理权

该第18条下的限制数据处理情形适用于任何数据处理行为和数据处理阶段，实务中在技术上如何做到这一点还有待观察，但GDPR Recital 67对此提供一些指导，建议通过“临时将选定的数据转移到另一个处理系统，使选定的个人数据对用户不可用，或暂时从网站上删除该数据”来实现对GDPR第18条的遵守。总之，该条下的合规目标必须是确保除存储数据外，不得以任何方式处理有关数据，除非该个人已同意进行特定形式的处理，或除非该处理是为了诉讼或辩护，保护他人的权利，或者为了重要的公众利益。

在许多情况下，对数据处理的限制只是暂时的。一旦组织已经做出了一个决定性的决定，例如，存在合法理由是否凌驾于数据主体请求限制的，它可以解除数据处理限制，但它必须在接触数据处理限制之前充分地通知数据主体。该通知数据主体的信息可能包括该组织拒绝依据GDPR第16或21条（限制权主要与这两项条款有关）规定的数据主体权利对数据处理进行限制的原因和所依据的事实。

数据便携性是欧洲数据保护法中的一个全新术语。GDPR第 20 条规定，数据主体有权接收他们自己的个人数据，这些数据需以结构化的、常用的和机器可读的格式提供给控制者。数据主体有权在不受数据控制人阻碍的情况下，将个人数据传输到另一个数据控制人。从技术上讲，数据控制人必须要么以可用的方式将数据移交给数据主体，要么应其要求(GDPR第20(2)条)，在技术上可行的情况下，直接将数据转移到数据主体选择的数据接收方。

对于一些组织来说，由于需要在新系统和流程上大量投资，这种在数据控制人之间转移个人数据的新权利造成了巨大的额外负担。另外一个棘手的问题是如何处理在 包含关于其他人的个人数据的个人数据转移要求，因为一个组织如果根据可携带性要求向任何其他控制人提供数据，就会使自己处于法律危险之中，并且很容易被发现对错误披露个人数据负有责任，即使它没有任何真正的机会在披露之前验证对方的合规情况。因此，组织应始终考虑向第三方传输个人数据是否会对第三方的权利和自由产生不利影响。虽然可能有合法的理由决绝数据主体提出的数据转移请求，例如，如果它会影响其他人的权利和自由，但必须考虑到，组织有责任来解释为什么拒绝这些数据转移请求是合法的 ，并且需要对证明自己行为合法所依据的事实进行存档记录。

根据GDPR第21(1)条，即便数据控制人基其合法理由进行数据处理，数据主体依然可以反对这种处理。因为GDPR没有对有效的反对意见指定任何特定的形式要求，而且反对意见可以口头或书面提出，因此数据控制人需要特别注意在流程中妥善地处理这种反对请求。

此外，数据主体可向属于数据控制人的任何机构的任何人员提出异议，反对的提出不需要指向特定的人员或联络点，也不需要包含“反对处理”的确切措辞或对GDPR第21条的引用。因此，任何员工都可能收到有效的口头异议，而公司面临着妥善处理它的法律责任。对此，组织需要仔细考虑他们的哪些员工经常与个人互动，可能需要专门的培训来处理这些可能的反对。一般认为最好的做法是起草一项具体的隐私政策，充分记录收到的反对意见的有关细节，特别是那些通过电话或亲自提出的反对意见。

数据控制人在收到有效的反对后将不再被允许处理数据主体的个人数据，除非它能证明存在令人信服的的合法的理由继续进行数据处理。这些理由必须非常有说服力，足以凌驾于数据主体的利益、权利和自由之上。不过GDPR本身没有解释什么会被认为是令人信服的合法理由，实践中一般进行诉讼、辩护或遵守法律的强制性规定才会被认为是足以对抗数据主体反对权的合法理由。

尽管数据主体的权利作为GDPR中非常重要的一环需要被最大限度的保护，但欧盟成员国依然有可能通过本国法律对GDPR第12至22条规定的数据主体权利范围作出限制。成员国有权根据GDPR第5条的原则对这些权利进行限制，只要其规定符合第12至22条规定的权利和义务。特别是，成员国可在尊重数据主体基本权利和自由的同时，为维护国家安全、国防或公共安全利益对数据主体权利作必需的限制