Προκειμένου πληροφορίες που συνιστούν απλά προσωπικά δεδομένα να μπορούν να υπόκεινται σε επεξεργασία, σύμφωνα με το άρθρο 6 ΓΚΠΔ, πρέπει να συντρέχει τουλάχιστον μια από τις παρακάτω προϋποθέσεις (αρχές):
α) το υποκείμενο έχει δώσει τη συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους σκοπούς,
β) η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για τη λήψη μέτρων πριν τη σύναψη της σύμβασης κατόπιν αιτήσεως του υποκειμένου των δεδομένων,
γ) η επεξεργασία είναι αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσης του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, και
στ) η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση εννόμου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου, στον οποίο ανακοινώνονται τα δεδομένα, το οποίο (συμφέρον) υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του υποκειμένου, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Όσον αφορά την επεξεργασία ειδικής κατηγορίας (ευαίσθητων) προσωπικών δεδομένων ορίζονται τα ακόλουθα:
Σύμφωνα με τις διατάξεις του άρθρου 9 ΓΚΠΔ, απαγορεύεται η επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική-εθνοτική προέλευση, πολιτικά φρονήματα, θρησκευτικές-φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλικής ζωής, γενετήσιου προσανατολισμού.
Κατ’ εξαίρεση επιτρέπεται η επεξεργασία αυτών των δεδομένων εφόσον συντρέχει μία ή και περισσότερες από τις παρακάτω προϋποθέσεις:
α) το υποκείμενο έχει δώσει τη ρητή συγκατάθεσή του για την επεξεργασία των προσωπικών του δεδομένων για έναν ή περισσότερους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση δεν μπορεί να αρθεί με τη λήψη συγκατάθεσης,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση των δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία βάση του εθνικού δικαίου και με κατάλληλες εγγυήσεις για τα δικαιώματα και συμφέροντα του υποκειμένου των δεδομένων,
γ) η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική αδυναμία να δώσει συγκατάθεση,
δ) η επεξεργασία διενεργείται στο πλαίσιο δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα, αφορά αποκλειστικά τα δεδομένα των μελών και τα δεδομένα δεν διαβιβάζονται σε τρίτους,
ε) η επεξεργασία αφορά δεδομένα που προδήλως δημοσιοποιεί το ίδιο το υποκείμενο των δεδομένων,
στ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος βάσει του δικαίου της Ένωσης ή κράτους μέλους,
η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης βάσει του δικαίου της Ένωσης ή κράτους μέλους,
θ) η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας βάσει του δικαίου της Ένωσης ή κράτους μέλους, και
ι) η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής, ιατρικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης ή κράτους μέλους