สิทธิพื้นฐานของเจ้าของข้อมูลส่วนบุคคลมีทั้งหมด 8 ประการ ดังนี้

• สิทธิได้รับการแจ้งให้ทราบ (Right to be Informed) ตามมาตรา 23 คือ สิทธิที่จะต้องได้รับทราบวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล รวมถึงระยะเวลาในการจัดเก็บ และรายละเอียดของผู้ควบคุมข้อมูล ก่อนหรือขณะทำการเก็บรวบรวม

• ตัวอย่าง: บริษัท E-commerce จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) ให้ลูกค้าอ่านและทำความเข้าใจก่อนกดสมัครสมาชิก โดยระบุอย่างชัดเจนว่าจะนำข้อมูลชื่อและที่อยู่ไปใช้เพื่อการจัดส่งสินค้าเท่านั้น และจะจัดเก็บข้อมูลไว้ในระบบเป็นระยะเวลา 5 ปี

• สิทธิขอเข้าถึงข้อมูล (Right of Access) ตามมาตรา 30 คือ สิทธิในการขอเข้าถึง ขอรับสำเนาข้อมูลส่วนบุคคลของตนเอง หรือขอให้เปิดเผยถึงการได้มาของข้อมูล

• ตัวอย่าง: ลูกค้าขอสำเนาประวัติการซื้อสินค้าจากแบรนด์ หรือ พนักงานขอให้บริษัทชี้แจงว่าข้อมูลพฤติกรรมการทำงานที่องค์กรนำมาประเมินผลนั้น ได้มาจากแหล่งใด

• สิทธิขอให้โอนย้ายข้อมูล (Right to Data Portability) ตามมาตรา 31 คือ สิทธิในการขอรับข้อมูลของตนในรูปแบบที่อ่านหรือใช้งานทั่วไปได้ด้วยเครื่องมืออัตโนมัติ รวมถึงขอให้ส่งหรือโอนข้อมูลนั้นไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น

• ตัวอย่าง: ผู้ใช้บริการขอให้ ค่ายมือถือ ก. ส่ง ข้อมูลประวัติการใช้งานและการชำระค่าบริการ ในรูปแบบไฟล์อิเล็กทรอนิกส์ (เช่น CSV หรือ XML) ไปยัง ค่ายมือถือ ข. โดยตรง เพื่อความสะดวกรวดเร็วในการ พิจารณารับสิทธิพิเศษซื้อเครื่องพร้อมแพ็กเกจแบบผ่อนชำระ

• สิทธิคัดค้านการประมวลผล (Right to Object) ตามมาตรา 32 คือ สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของตนเองเมื่อใดก็ได้ (เช่น การคัดค้านข้อมูลที่ใช้เพื่อการตลาดแบบตรง)

• ตัวอย่าง: ลูกค้าใช้สิทธิปฏิเสธการรับสายโทรศัพท์เสนอขายบริการ (Telesales) จากบริษัท องค์กรจึงมีหน้าที่ต้องบันทึกรายชื่อดังกล่าวลงในระบบ Do Not Call List และระงับการนำเบอร์โทรศัพท์ไปใช้เพื่อวัตถุประสงค์ทางการตลาด (Direct Marketing) ทันที

• สิทธิขอให้ลบหรือทำลายข้อมูล (Right to Erasure / Right to be Forgotten) ตามมาตรา 33 คือ สิทธิในการขอให้ผู้ควบคุมข้อมูลลบ ทำลาย หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้ หากข้อมูลนั้นหมดความจำเป็น หรือเจ้าของข้อมูลถอนความยินยอมแล้ว

• ตัวอย่าง: ผู้ใช้งานส่งคำร้องขอลบบัญชี (Delete Account) ออกจากแอปพลิเคชัน องค์กรจึงต้องดำเนินการลบข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ และข้อมูลบัตรเครดิต ออกจากฐานข้อมูลอย่างถาวร 

• สิทธิขอให้ระงับการใช้ข้อมูล (Right to Restriction of Processing) ตามมาตรา 34  คือ สิทธิในการขอให้ระงับการใช้ข้อมูลชั่วคราว เช่น ในระหว่างที่ผู้ควบคุมข้อมูลกำลังตรวจสอบคำขอแก้ไขข้อมูลให้ถูกต้อง หรือตรวจสอบการคัดค้าน

• ตัวอย่าง: ในระหว่างที่ลูกค้ากำลังอยู่ระหว่างการฟ้องร้องคดีความกับบริษัท ลูกค้าสามารถส่งคำร้องขอให้บริษัท “ระงับ” การลบข้อมูลประวัติการทำธุรกรรมของตนชั่วคราว เพื่อสงวนไว้ใช้เป็นพยานหลักฐานทางกฎหมายในชั้นศาล

• สิทธิขอให้แก้ไขข้อมูล (Right to Rectification) ตามมาตรา 35 และ 36 คือ สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

• ตัวอย่าง: ลูกค้าแจ้งขอเปลี่ยนชื่อ-นามสกุล หรือที่อยู่สำหรับจัดส่งเอกสาร องค์กรมีหน้าที่ต้องปรับปรุงข้อมูลในฐานข้อมูลลูกค้า (CRM) ให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบันที่สุด เพื่อป้องกันความผิดพลาดในการส่งเอกสารสำคัญ

• สิทธิขอเพิกถอนความยินยอม (Right to Withdraw Consent)  ตามมาตรา 19 คือ สิทธิในการถอนความยินยอมที่เคยให้ไว้เมื่อใดก็ได้ โดยการถอนความยินยอมนั้นจะต้องทำได้ง่ายพอ ๆ กับตอนที่ให้ความยินยอมในตอนแรก

ตัวอย่าง: ลูกค้าเคยกดให้ความยินยอมรับข่าวสารทางการตลาดผ่านอีเมล (Email Marketing) แต่ต่อมาต้องการยกเลิก จึงกดยกเลิกผ่านปุ่ม Unsubscribe ท้ายอีเมล ซึ่งองค์กรต้องจัดทำระบบให้เจ้าของข้อมูลสามารถเพิกถอนความยินยอมได้ง่ายเช่นเดียวกับขั้นตอนการให้ความยินยอมในครั้งแรก