Стаття 15. Право суб'єкта даних на доступ

Суб'єкт даних повинен мати право на отримання від контролера підтвердження факту опрацювання її або його персональних даних і, якщо це так, - доступ до персональних даних та інформації про:
1. цілі цього Регламенту;
2. категорії відповідних персональних даних;
3. одержувачі чи категорії одержувача, якому персональні дані були або будуть розкриті, зокрема, одержувачі в третіх країнах або міжнародні організації;
4. за можливості, період, протягом якого передбачається, що персональні дані будуть зберігати, або, якщо це неможливо, - критерії визначення такого періоду;
5. існування права надсилати запит до контролера щодо виправлення чи стирання персональних даних, або обмеження опрацювання персональних даних про суб'єкта даних і заперечувати проти такого опрацювання;
6. право подавати скаргу до наглядового органу;
7. якщо персональні дані не збирають від суб'єкта даних, будь-яку інформацію щодо їхнього джерела;
8. наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
Якщо персональні дані передають до третьої країни або до міжнародної організації, суб'єкт даних повинен мати право бути повідомленим про належні гарантії відповідно до статті 46 щодо передавання даних.
Контролер повинен надати копію персональних даних, які знаходяться у процесі опрацювання. Для будь-яких подальших копій, запит на які надсилатиме суб'єкт даних, контролер може стягувати розумну плату, що ґрунтується на адміністративних витратах. У разі подання суб'єктом даних запиту електронними засобами і за винятком його прохання щодо іншої форми інформацію необхідно надавати загальноприйнятими електронними засобами.
Право на отримання копії, вказаної в параграфі 3, не повинно негативно впливати на права та свободи інших осіб.