Den registrertes rettigheter
1. Rett til informasjon (artikkel 13 og 14)
De registrerte har rett til uoppfordret å motta informasjon om hvordan deres personopplysninger behandles.
2. Rett til innsyn (artikkel 15)
De registrertes rett til innsyn er todelt. For det første gis den registrerte, på forespørsel, rett til informasjon om hvordan deres personopplysninger behandles. Dette er langt på vei et speilbilde av den behandlingansvarliges plikt til å gi informasjon etter artikkel 13 og 14. For det andre gis den registrerte, på forespørsel, rett til å få kopi av de personopplysninger som en behandlingsansvarlig har om vedkommende. Dersom forespørselen skjer elektronisk, skal opplysningene gis elektronisk.
Et unntak oppstilles for opplysninger som "i lov eller i medhold av lov er underlagt taushetsplikt", jf. forslag til ny personopplysningslov § 13. Straffeloven § 111 pålegger advokater taushetsplikt for opplysninger betrodd dem i anledning stillingen eller oppdraget. Advokatforskriftens kapittel 12 (regler for god advokatskikk) pålegger dessuten advokater taushetsplikt også for opplysninger advokaten blir kjent med i sitt virke som advokat, selv om de ikke er omfattet av lovbestemt taushetsplikt. Begge disse taushetspliktene gir derfor unntak fra de registrertes rett til innsyn etter GDPR artikkel 15.
Det betyr i praksis at en advokatvirksomhet ikke kan gi innsyn i kopi av personopplysninger som advokaten er betrodd eller blitt kjent med i sitt virke. Altså vil GDPR artikkel 15 ikke gi en person innsynsrett i opplysninger i saksdokumenter (med mindre den registrerte er klient som privatperson).
Et annet unntak oppstilles "der det er det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger". Unntaket kan tenkes å være relevant for advokatvirksomhet som driver med strafferett. I slike tilfeller følger eventuelle rettigheter isteden reglene i straffeprosessloven, slik som rett til innsyn i sakens dokumenter etter straffeprosessloven § 242.
3. Rett til korrigering (artikkel 16)
De registrerte har, på forespørsel, rett til å få uriktige personopplysninger om seg selv korrigert.
4. Rett til sletting (artikkel 17)
De registrerte har, på forespørsel, rett til å få personopplysninger om seg selv slettet. Denne retten gjelder kun i visse tilfeller. Som eksempel på dette er hvor opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for. Dette er langt på vei et speilbilde av den generelle sletteplikten. Den behandlingsansvarlige skal uansett ikke lagre personopplysninger lenger enn nødvendig for formålet (uavhengig av de registrertes sletteforespørsel). Dette betyr i praksis at det ikke er noe plikt til å etterkomme en sletteanmodning hvis virksomheten fortsatt har behov for opplysningene for det formålet de behandles for, jf. GDPR art. 17 nr. 1 (virksomhetens generelle behov for oppbevaring skal fremgå av dokumenterte sletterutiner). Tilsvarende gjelder dersom advokatvirksomheten fortsatt trenger personopplysningene for å oppfylle en rettslig forpliktelse eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav, jf. GDPR art. 17 nr. 3. Altså går advokatvirksomhetens plikt eller behov for å oppbevare personopplysningene generelt foran den registrertes ønske om å få opplysningene slettet.