Gegevens mogen niet zomaar verwerkt worden, daar zijn allerlei voorwaarden aan verbonden.
De belangrijkste voorwaarde is dat de gegevensverwerking rechtmatig, behoorlijk en transparant is.
Dit betekent onder meer dat gegevensverwerking alleen maar is toegestaan wanneer dat gebeurt op basis van één van de in de wet genoemde gronden (toestemming, overeenkomst, wettelijke plicht, vitale belangen betrokkene, algemeen belang/overheidstaak, eigen dringend belang).
Daarnaast mogen er niet meer gegevens verwerkt worden dan noodzakelijk (minimale gegevensverwerking) en die gegevens mogen ook niet langer bewaard worden dan nodig is.
Natuurlijk dienen de gegevens ook correct en actueel te zijn en zullen er passende beveiligingsmaatregelen getroffen moeten worden.
Het transparantiebeginsel houdt in dat de verantwoordelijke in een privacybeleid vastlegt dat en hoe er met al deze voorwaarden wordt omgegaan en welke rechten de betrokkene daarbij heeft.