Η επεξεργασία είναι νόμιμη μόνο όταν υπάρχει έγκυρη νομική βάση. Οι πιο συχνές βάσεις είναι: 

1. το υποκείμενο έχει δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους σκοπούς,
2. η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης της, οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για τη λήψη μέτρων πριν τη σύναψη της σύμβασης κατόπιν αιτήσεως του υποκειμένου των δεδομένων,
3. η επεξεργασία είναι αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσης του υπευθύνου επεξεργασίας,
4. η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
5. η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, και
6. η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση εννόμου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου, στον οποίο ανακοινώνονται τα δεδομένα, το οποίο (συμφέρον) υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του υποκειμένου, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

Η νομιμότητα δεν αφορά μόνο το «αν» επιτρέπεται η επεξεργασία, αλλά και πώς γίνεται: με διαφάνεια, ακρίβεια, ελάχιστα δεδομένα, ασφάλεια και περιορισμένο χρόνο τήρησης. Η τεκμηρίωση κάθε βήματος (π.χ. έντυπο συγκατάθεσης ή πολιτική απορρήτου) προστατεύει τόσο το άτομο όσο και τον φορέα.

Όσον αφορά στην επεξεργασία ειδικής κατηγορίας (ευαίσθητων) προσωπικών δεδομένων ορίζονται τα ακόλουθα:

Σύμφωνα με τις διατάξεις του άρθρου 9 ΓΚΠΔ, απαγορεύεται η επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική-εθνοτική προέλευση, πολιτικά φρονήματα, θρησκευτικές-φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλικής ζωής, γενετήσιου προσανατολισμού.

Κατ’ εξαίρεση επιτρέπεται η επεξεργασία αυτών των δεδομένων εφόσον συντρέχει μία ή και περισσότερες από τις παρακάτω προϋποθέσεις:

1. το υποκείμενο έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση δεν μπορεί να αρθεί με τη λήψη συγκατάθεσης,
2. η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση των δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία βάση του εθνικού δικαίου και με κατάλληλες εγγυήσεις για τα δικαιώματα και συμφέροντα του υποκειμένου των δεδομένων,
3. η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική αδυναμία να δώσει συγκατάθεση,
4. η επεξεργασία διενεργείται στο πλαίσιο δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα, αφορά αποκλειστικά στα δεδομένα των μελών και τα δεδομένα δεν διαβιβάζονται σε τρίτους,
5. η επεξεργασία αφορά σε δεδομένα που προδήλως δημοσιοποιεί το ίδιο το υποκείμενο των δεδομένων,
6. η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
7. η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος βάσει του δικαίου της Ένωσης ή κράτους μέλους,
8. η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης βάσει του δικαίου της Ένωσης ή κράτους μέλους,
9. η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας βάσει του δικαίου της Ένωσης ή κράτους μέλους, και
10. η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής, ιατρικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης ή κράτους μέλους