Tem de existir uma base legal para controlar e processar dados pessoais (Artigo 6). A base legal inclui consentimento direto do indivíduo (entenda-se como titular de dados) para a execução de um contrato de tratamento desses dados, conformidade com as obrigações legais da entidade, protegendo os interesses vitais do indivíduo, e os legítimos interesses da entidade. É essencial ser muito claro na base legal específica para recolher e processar dados pessoais, porque alguns direitos dos indivíduos são válidos só para dados guardados de acordo com uma ou duas bases legais, por exemplo. Enquanto a base dos “interesses legítimos” parece dar uma grande influência à entidade, existem várias várias circunstâncias que limitam a sua aplicabilidade, tal como ter em conta o contexto em que os dados são recolhidos e a relação entre o indivíduo e a entidade.
Deve-se recolher e processar dados pessoais só para objetivos legais, e proteger sempre esse dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda, processamento, divulgação, acesso, e alteração. Ao abrigo do RGPD, os indivíduos têm direitos significativos e liberdades, e estes têm de ser confirmados através de adequadas medidas técnicas e organizativas.