Henkilötietojen käsittely on lainmukaista ainoastaan asetuksen määrittelemin edellytyksin. Rekisterinpitäjä on vastuussa siitä, ettei henkilötietoja käsitellä ilman asianmukaista oikeusperustaa. Asetuksen mukaan lainmukaisia käsittelyn edellytyksiä ovat muun muassa:
- rekisteröidyn vapaaehtoinen ja informoitu suostumus.( ja erityisryhmiltä, kuten lapset, nimenomainen suostumus). Rekisterinpitäjän velvollisuuksiin kuuluu pystyä osoittamaan jälkikäteen, että suostumus on annettu
- sellaisen sopimuksen täytäntöön paneminen, jossa rekisteröity on osapuolena. (asiakassuhde, palvelussuhde)
- rekisterinpitäjän lakisääteinen velvoite. Asetus sallii kansallista liikkumavaraa lakisääteisten velvoitteiden toteuttamisessa
- Tieteelliset ja historialliset tukimustarkoitukset sekä tilastointi (asetuksessa kansallinen joustovara)
- Rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaaminen
- Rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen, jonka soveltamiseen myös sallitaan kansallista liikkumavaraa.
Rekisterinpitäjän tulee huolehtia, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja että tämä huomioidaan myös uusia käsittelytapoja suunniteltaessa. Henkilötietojen käsittelyn tulee olla tarkoitussidonnaista; hänen tulee ennakkoon määritellä ne tarkoitukset, joihin henkilötietoja käsitellään ja varmistua, ettei tietoja käsitellä muihin tarkoituksiin.
Henkilötietojen käsittely omiin henkilökohtaisiin tarkoituksiin on myös sallittu (esim. oma osoitekirja ja syntymäpäiväluettelo).
Käsittelyperustekaavio ja tarkempaa tietoa löytyy tietosuojavaltuutetun toimiston oppaasta "Tietosuojavaltuutetun toimiston ohje lainsäädäntölausuntoihin"