Η προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής αποτελεί θεμελιώδες ανθρώπινο δικαίωμα. Ο νόμος παρέχει ορισμένα δικαιώματα στα φυσικά πρόσωπα (τα υποκείμενα των δεδομένων) και θέτει συγκεκριμένες υποχρεώσεις σε όσους τηρούν και επεξεργάζονται προσωπικά δεδομένα (τους υπευθύνους επεξεργασίας).
Σύμφωνα με το άρθρο 6 ΓΚΠΔ, η επεξεργασία είναι σύννομη μόνον εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
το υποκείμενο έχει δώσει τη συγκατάθεσή του
η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης ή για τη λήψη μέτρων πριν τη σύναψη της σύμβασης
η επεξεργασία είναι αναγκαία για την εκπλήρωση εκ του νόμου υποχρέωσης του υπευθύνου επεξεργασίας,
η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
η επεξεργασία είναι αναγκαία για την εκτέλεση έργου δημοσίου συμφέροντος ή άσκησης δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, και
η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση εννόμου συμφέροντος του υπεύθυνου της επεξεργασίας ή τρίτου.
Σύμφωνα με τις διατάξεις του άρθρου 9 ΓΚΠΔ, απαγορεύεται η επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν φυλετική-εθνοτική προέλευση, πολιτικά φρονήματα, θρησκευτικές-φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλικής ζωής, γενετήσιου προσανατολισμού.
Κατ’ εξαίρεση επιτρέπεται η επεξεργασία αυτών των δεδομένων εφόσον συντρέχει μία ή και περισσότερες από τις παρακάτω προϋποθέσεις:
το υποκείμενο έχει δώσει τη ρητή συγκατάθεσή του
η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης βάσει του δικαίου της Ένωσης ή κράτους μέλους,
η επεξεργασία είναι απαραίτητη για την εκτέλεση των υποχρεώσεων και την άσκηση των δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας,
η επεξεργασία αφορά δεδομένα που προδήλως δημοσιοποιεί το ίδιο το υποκείμενο των δεδομένων,
η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα,
η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής, ιατρικής έρευνας ή για στατιστικούς σκοπούς βάσει του δικαίου της Ένωσης ή κράτους μέλους
η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή τρίτου
η επεξεργασία διενεργείται στο πλαίσιο δραστηριοτήτων ιδρύματος, οργάνωσης ή άλλου μη κερδοσκοπικού φορέα, αφορά αποκλειστικά τα δεδομένα των μελών και τα δεδομένα δεν διαβιβάζονται σε τρίτους,
η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος βάσει του δικαίου της Ένωσης ή κράτους μέλους, και
η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας βάσει του δικαίου της Ένωσης ή κράτους μέλους.