Η προστασία των προσωπικών δεδομένων αποτελεί θεμελιώδες δικαίωμα και επίσης κατοχυρώνεται στη Συνθήκη της Λισαβόνας. Ο Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης ορίζει ότι «Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο. Κάθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους» (Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης. άρθρο 16. Χάρτης Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, άρθρο 8).
Κάθε φυσικό πρόσωπο έχει δικαίωμα στην επαρκή προστασία των προσωπικών δεδομένων που το αφορούν (Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, άρθρα 6 και 12). Η επεξεργασία των προσωπικών δεδομένων πρέπει να είναι απαραίτητη, δίκαιη, νόμιμη και αναλογική. Τα δεδομένα που παρέχονται άμεσα ή έμμεσα από φυσικά πρόσωπα δεν πρέπει να χρησιμοποιούνται για σκοπούς άλλους από αυτούς που προβλέπονταν αρχικά. Δεν δύναται επίσης τα δεδομένα αυτά να περιέλθουν αδιακρίτως σε νομικά πρόσωπα με τα οποία το φυσικό πρόσωπο δεν έχει επιλέξει να εμπλακεί. Τα εν λόγω δικαιώματα ισχύουν για όλους, ανεξαρτήτως εθνικότητας ή τόπου κατοικίας. Δεδομένα προσωπικού χαρακτήρα που δηλώνουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, καθώς και η επεξεργασία δεδομένων που αναφέρονται στην υγεία και τη σεξουαλική ζωή επιτρέπονται μόνο με τη ρητή συγκατάθεση του φυσικού προσώπου, εφόσον αυτό επιτρέπεται από την εθνική νομοθεσία (Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, άρθρο 8).
Τα φυσικά πρόσωπα έχουν το δικαίωμα να λαμβάνουν πληροφορίες από άτομα και εταιρείες που διατηρούν ορισμένα από τα προσωπικά δεδομένα τους στο αρχείο τους, όπως δικτυακοί τόποι, βάσεις δεδομένων, πάροχοι υπηρεσιών κ.λπ. («υπεύθυνοι επεξεργασίας δεδομένων») και έχουν το δικαίωμα να διορθώσουν ή να διαγράψουν τα δεδομένα αυτά, αν είναι ελλιπή ή ανακριβή:
- Οι υπεύθυνοι επεξεργασίας δεδομένων οφείλουν να ενημερώνουν τους καταναλωτές, όταν συλλέγουν προσωπικά δεδομένα που τους αφορούν·
- Τα πρόσωπα έχουν το δικαίωμα να γνωρίζουν το όνομα του υπεύθυνου επεξεργασίας, την προβλεπόμενη χρήση της επεξεργασίας των δεδομένων, καθώς και τα πρόσωπα στα οποία δύναται να περιέλθουν τα δεδομένα·
- Τα πρόσωπα δύνανται να ρωτήσουν τον υπεύθυνο επεξεργασίας δεδομένων εάν επεξεργάζεται προσωπικά δεδομένα που τα αφορούν·
- Τα πρόσωπα έχουν το δικαίωμα να λάβουν αντίγραφο των δεδομένων που τα αφορούν σε κατανοητή μορφή·
- Τα πρόσωπα έχουν το δικαίωμα να ζητήσουν τη διαγραφή, τον αποκλεισμό ή την απαλοιφή των δεδομένων, εάν είναι ελλιπή, ανακριβή ή έχουν ληφθεί παράνομα. Τα πρόσωπα έχουν το δικαίωμα να εναντιωθούν στην επεξεργασία προσωπικών δεδομένων.
Κάθε φυσικό πρόσωπο έχει το δικαίωμα να μη συμμορφωθεί με απόφαση που παράγει νομικά αποτελέσματα έναντι αυτού ή το θίγει σημαντικά εφόσον η εν λόγω απόφαση βασίζεται αποκλειστικώς σε αυτοματοποιημένη επεξεργασία που αξιολογεί ορισμένες πτυχές της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητα, η αξιοπιστία, η διαγωγή του κ.λπ. (Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, άρθρο 15).
Τα δικαιώματα αυτά ισχύουν και στο online περιβάλλον, όπου τα πρόσωπα έχουν τα εξής επιπλέον δικαιώματα (Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών [οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες], όπως τροποποιήθηκε από την οδηγία 2006/24/ΕΚ και την οδηγία 2009/136/ΕΚ, άρθρα 4, 5 και 13):
- Να ενημερώνονται πλήρως και να παρέχουν τη συγκατάθεσή τους, εάν ένας δικτυακός τόπος αποθηκεύει και συλλέγει πληροφορίες από τον τερματικό εξοπλισμό τους ή επιθυμεί να τους παρακολουθεί κατά την πλοήγηση στο Διαδίκτυο·
- Εμπιστευτικότητα των επιγραμμικών επικοινωνιών τους, όπως μηνύματα ηλεκτρονικού ταχυδρομείου·
- Να ενημερώνονται σε περίπτωση παραβίασης των προσωπικών τους δεδομένων τα οποία διατηρεί ο πάροχος υπηρεσιών Διαδικτύου τους, για παράδειγμα εάν χαθούν ή κλαπούν, και σε περίπτωση που ενδέχεται να επηρεαστεί αρνητικά η ιδιωτικότητά τους·
- Να μην λαμβάνουν αυτόκλητες εμπορικές ανακοινώσεις, γνωστές ως «spam», εκτός εάν έχουν δώσει τη συγκατάθεσή τους·
Πηγή: Κεφάλαιο 4 του Κώδικα για τα δικαιώματα στο Διαδίκτυο στην Ευρώπη. Ακολουθεί όλος ο κώδικας παρακάτω