En virksomhed må kun behandle personoplysninger, hvis virksomheden opfylder nogle grundlæggende principper og har et grundlag for behandling af personoplysninger.
De generelle og grundlæggende krav, som den dataansvarlige virksomhed skal opfylder er:
- Lovlighed, rimelighed og gennemsigtighed
- Formålsbegrænsning
- Dataminimering
- Rigtighed
- Opbevaringsbegrænsning/sletning
- Integritet og fortrolighed
Derudover skal den dataansvarlige virksomhed sørge for, at behandlingen af personoplysninger har et grundlag.