Закон о заштити података о личности дефинише различите законске основе за обраду података:
пристанак лица (нпр. посетилац веб странице означи поље за потврду код пријаве за невслеттер)
закључење односно извршење закљученог уговора (нпр. купац онлине схоп-а открива своју адресу пребивалишта како би се на ту адресу испоручила роба)
испуњење правних обавеза руковаоца (нпр. обрада имена и презимена запосленог ради закључења уговора о раду)
легитимни интерес (нпр. видео надзор који се налази у пословном простору ради заштите имовине и лица)
заштита животно важних интереса лица (нпр. у време пандемије када су се обрађивали здравствени подаци)
обрада је неопходна у циљу обављања послова у јавном интересу (нпр. социјално осигурање)
Напомињемо да један исти податак може да се обрађује по више различитих основа и за различите сврхе, што је важно идентификовати.
Сврха обраде података је различита и потребно је водити рачуна да ли је твоја обрада за баш сваку сврху због које обрађује податке законита. Сврхе обраде јесу (имајући у виду наведене примере изнад): пријем невслеттер-а, испорука купљене робе, закључење уговора о раду, заштита имовине и лица у просторијама, заштита становништва од ширења заразних болести.