Nghĩa vụ thông báo cho chủ thể dữ liệu khi thu thập dữ liệu cá nhân từ chủ thể đó. Nếu bộ điều khiển thu thập dữ liệu cá nhân từ chủ thể dữ liệu, thì đồng thời bộ điều khiển phải cung cấp cho chủ thể dữ liệu những thông tin sau: danh tính và thông tin liên lạc của bộ điều khiển và người đại diện của bộ điều khiển, nếu có; nếu có thể, thông tin liên lạc của bất kỳ nhân viên bảo vệ dữ liệu nào; mục đích xử lý dữ liệu cá nhân và cơ sở pháp lý cho việc xử lý; lợi ích hợp pháp của bên kiểm soát hoặc bên thứ ba khi việc xử lý dựa trên lợi ích hợp pháp; người nhận tiềm năng hoặc danh mục người nhận dữ liệu cá nhân; ý định có thể có của bộ điều khiển trong việc chuyển dữ liệu cá nhân sang một quốc gia thứ ba hoặc một tổ chức quốc tế và sự tồn tại hay không có quyết định của Ủy ban về tính đầy đủ hoặc, trong trường hợp chuyển giao được đề cập trong Điều 46 hoặc 47 hoặc Điều 49 đoạn. 1, tiểu mục thứ hai, của Quy định (EU) 2016/679, tham chiếu đến các biện pháp bảo vệ và phương tiện thích hợp để có được bản sao dữ liệu đó hoặc thông tin về nơi dữ liệu đó được cung cấp. Ngoài ra, bộ điều khiển phải đồng thời cung cấp cho chủ thể dữ liệu những thông tin bổ sung sau, khi cần thiết để đảm bảo xử lý công bằng và minh bạch: thời gian lưu trữ dữ liệu cá nhân hoặc nếu không xác định được thì các tiêu chí được sử dụng để xác định thời gian này; sự tồn tại của quyền yêu cầu truy cập dữ liệu cá nhân từ bộ điều khiển, sửa hoặc xóa dữ liệu, hoặc hạn chế xử lý và phản đối việc xử lý, cũng như quyền chuyển dữ liệu; trong trường hợp việc xử lý dựa trên sự đồng ý, có quyền rút lại sự đồng ý bất kỳ lúc nào, mà không ảnh hưởng đến tính hợp pháp của việc xử lý dựa trên sự đồng ý đã đưa ra trước khi rút lại; sự tồn tại của quyền nộp đơn khiếu nại với cơ quan giám sát; thực tế liệu việc cung cấp dữ liệu cá nhân có phải là yêu cầu pháp lý hoặc hợp đồng hay là yêu cầu phải được đưa vào hợp đồng hay không và liệu chủ thể dữ liệu có nghĩa vụ cung cấp dữ liệu cá nhân hay không và những hậu quả có thể xảy ra nếu không cung cấp dữ liệu đó; thực tế là việc ra quyết định tự động, bao gồm cả việc lập hồ sơ, được đề cập trong Điều Đoạn 22 1 và 4 của Quy định 2016/679, và ít nhất trong những trường hợp này, thông tin có ý nghĩa liên quan đến quy trình được sử dụng, cũng như tầm quan trọng và hậu quả có thể lường trước được của việc xử lý đó đối với chủ thể dữ liệu. Nếu bên kiểm soát có ý định xử lý thêm dữ liệu cá nhân cho mục đích khác ngoài mục đích thu thập dữ liệu, bên kiểm soát phải cung cấp trước cho chủ thể dữ liệu thông tin về mục đích khác này và các thông tin bổ sung có liên quan được đề cập ở trên. Người quản trị không cung cấp thông tin ở mức độ mà chủ thể dữ liệu đã biết.

Thông báo cho chủ thể dữ liệu nếu dữ liệu cá nhân không được thu thập từ chủ thể dữ liệu. Nếu bộ điều khiển chưa lấy được dữ liệu cá nhân từ chủ thể dữ liệu, thì sau đó người đó sẽ cung cấp cho chủ thể dữ liệu những thông tin sau: danh tính và thông tin liên lạc của bộ điều khiển và người đại diện của người đó, nếu có; nếu có thể, thông tin liên lạc của bất kỳ nhân viên bảo vệ dữ liệu nào; mục đích xử lý dữ liệu cá nhân và cơ sở pháp lý cho việc xử lý; các loại dữ liệu cá nhân; người nhận tiềm năng hoặc danh mục người nhận dữ liệu cá nhân; ý định có thể có của bộ điều khiển trong việc chuyển dữ liệu cá nhân sang một quốc gia thứ ba hoặc một tổ chức quốc tế và sự tồn tại hay không có quyết định của Ủy ban về tính đầy đủ hoặc, trong trường hợp chuyển giao được đề cập trong Điều 46 hoặc 47 hoặc Điều 49 đoạn. 1, tiểu mục thứ hai, của Quy định (EU) 2016/679, tham chiếu đến các biện pháp bảo vệ và phương tiện thích hợp để có được bản sao dữ liệu đó hoặc thông tin về nơi dữ liệu đó được cung cấp. Ngoài ra, bộ điều khiển phải đồng thời cung cấp cho chủ thể dữ liệu những thông tin bổ sung sau, khi cần thiết để đảm bảo xử lý công bằng và minh bạch: thời gian lưu trữ dữ liệu cá nhân hoặc nếu không xác định được thì tiêu chí được sử dụng để xác định thời gian này; lợi ích hợp pháp của bên kiểm soát hoặc bên thứ ba khi việc xử lý dựa trên lợi ích hợp pháp; sự tồn tại của quyền yêu cầu truy cập dữ liệu cá nhân từ bộ điều khiển, sửa hoặc xóa dữ liệu, hoặc hạn chế xử lý và phản đối việc xử lý, cũng như quyền chuyển dữ liệu; trong trường hợp việc xử lý dựa trên sự đồng ý, có quyền rút lại sự đồng ý bất kỳ lúc nào, mà không ảnh hưởng đến tính hợp pháp của việc xử lý dựa trên sự đồng ý đã đưa ra trước khi rút lại; sự tồn tại của quyền nộp đơn khiếu nại với cơ quan giám sát; nguồn gốc của dữ liệu cá nhân và, nếu có, thông tin về việc dữ liệu có bắt nguồn từ các nguồn công khai hay không; thực tế là việc ra quyết định tự động, bao gồm cả việc lập hồ sơ, được đề cập trong Điều Đoạn 22 1 và 4 của Quy định 2016/679, và ít nhất trong những trường hợp này, thông tin có ý nghĩa liên quan đến quy trình được sử dụng, cũng như tầm quan trọng và hậu quả có thể lường trước được của việc xử lý đó đối với chủ thể dữ liệu. Nếu bên kiểm soát có ý định xử lý thêm dữ liệu cá nhân cho mục đích khác ngoài mục đích thu thập dữ liệu, bên kiểm soát phải cung cấp trước cho chủ thể dữ liệu thông tin về mục đích khác này và các thông tin bổ sung có liên quan được đề cập ở trên. Thông tin được cung cấp chậm nhất là 1 tháng sau khi thu thập, trong lần liên lạc đầu tiên sử dụng dữ liệu, trước khi dữ liệu được cung cấp cho người nhận khác. Người quản trị không cung cấp thông tin ở mức độ mà chủ thể dữ liệu đã biết. Thông tin sẽ không được cung cấp nếu điều này không thể thực hiện được mà không cần nỗ lực quá mức hoặc sẽ khiến mục đích xử lý trở nên khó khăn hơn đáng kể, hoặc nếu việc xử lý và các biện pháp bảo vệ chủ thể dữ liệu được pháp luật quy định hoặc phải tuân theo nghĩa vụ bảo mật.

Quyền truy cập dữ liệu cá nhân của bạn. Chủ thể dữ liệu có quyền yêu cầu bộ điều khiển xác nhận xem dữ liệu cá nhân liên quan đến mình có đang được xử lý hay không. Nếu vậy, người đó có quyền truy cập vào dữ liệu cá nhân này và các thông tin sau: mục đích xử lý; các loại dữ liệu cá nhân có liên quan; người nhận hoặc danh mục người nhận mà dữ liệu cá nhân đã được hoặc sẽ được tiết lộ, đặc biệt là người nhận ở các quốc gia thứ ba hoặc các tổ chức quốc tế; thời gian dự kiến lưu trữ dữ liệu cá nhân hoặc nếu không xác định được thì các tiêu chí được sử dụng để xác định thời gian này; sự tồn tại của quyền yêu cầu bộ điều khiển chỉnh sửa hoặc xóa dữ liệu cá nhân liên quan đến chủ thể dữ liệu hoặc hạn chế việc xử lý dữ liệu, hoặc phản đối việc xử lý đó; quyền nộp đơn khiếu nại lên cơ quan giám sát; bất kỳ thông tin nào có sẵn về nguồn dữ liệu cá nhân, trừ khi thu được từ chủ thể dữ liệu; thực tế là việc ra quyết định tự động, bao gồm cả việc lập hồ sơ, được đề cập trong Điều Đoạn 22 1 và 4 của Quy định (EU) 2016/679, và ít nhất trong những trường hợp này, thông tin có ý nghĩa liên quan đến quy trình được sử dụng, cũng như tầm quan trọng và hậu quả dự kiến của việc xử lý đó đối với chủ thể dữ liệu. Trong trường hợp chuyển dữ liệu sang quốc gia thứ ba hoặc tổ chức quốc tế, chủ thể dữ liệu có quyền được thông báo về các biện pháp bảo vệ phù hợp.

Thông báo về việc chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu cá nhân. Bộ điều khiển sẽ thông báo cho từng người nhận mà dữ liệu cá nhân đã được tiết lộ về bất kỳ sửa đổi hoặc xóa dữ liệu cá nhân nào hoặc hạn chế xử lý được thực hiện theo Điều 16, Nghệ thuật. Đoạn 17 1 và Điều 18 của Quy định (EU) 2016/679, trừ trường hợp điều này không thể thực hiện được hoặc đòi hỏi nỗ lực không cân xứng. Bộ điều khiển sẽ thông báo cho chủ thể dữ liệu về những người nhận này nếu chủ thể dữ liệu yêu cầu.

Tạo hồ sơ về các hoạt động xử lý dữ liệu cá nhân của bên kiểm soát. Người kiểm soát (người đại diện của người đó) lưu giữ hồ sơ về các hoạt động xử lý dữ liệu cá nhân mà người đó chịu trách nhiệm và sẽ cung cấp cho cơ quan giám sát (Văn phòng Bảo vệ Dữ liệu Cá nhân) khi được yêu cầu. Một đơn vị kiểm soát có ít hơn 250 nhân viên không tuân thủ nghĩa vụ này nếu việc xử lý chỉ diễn ra thỉnh thoảng, rủi ro thấp và không bao gồm dữ liệu nhạy cảm (Điều 9 và 10 của Quy định 2016/679). Hồ sơ cho mỗi hoạt động xử lý bao gồm tên và thông tin liên lạc của bộ điều khiển và, nếu có, bộ điều khiển chung, đại diện của bộ điều khiển và nhân viên bảo vệ dữ liệu; mục đích xử lý; mô tả các loại chủ thể dữ liệu và các loại dữ liệu cá nhân; các loại người nhận mà dữ liệu cá nhân đã được hoặc sẽ được tiết lộ, bao gồm người nhận ở các quốc gia thứ ba hoặc các tổ chức quốc tế; thông tin về bất kỳ việc chuyển giao dữ liệu cá nhân nào sang một quốc gia thứ ba hoặc tổ chức quốc tế, bao gồm việc xác định quốc gia thứ ba hoặc tổ chức quốc tế đó và, nếu có, bằng chứng về các biện pháp bảo vệ thích hợp; nếu có thể, thời hạn dự kiến để xóa từng loại dữ liệu; nếu có thể, hãy mô tả chung về các biện pháp an ninh kỹ thuật và tổ chức.