Līdzšinējie personas datu apstrādes pamatprincipi likumības ungodprātības princips paliek nemainīgi, proti, jebkurai personas datu apstrādei ir jābūt tiesiskam pamatam (piem., datu subjekta piekrišana, līgums, leģitīmās intereses un citi Regulas 6.pantā noteiktie tiesiskie pamati). Pārzinis, veicot personas datu apstrādi, nodrošina godprātīgu attieksmi pret personas datiem. Godprātības princips ietver arī visus pārējos principus, jo tie visi ir vērsti uz to, lai pārzinis nodrošinātu godīgu attieksmi pret datu subjektu – personu, kuras dati tiek apstrādāti.Papildus noteikts pārredzamības princips.

 Nolūka ierobežojumi, tas nozīmē, ka dati jāvāc konkrētiem, skaidriem un leģitīmiem nolūkiem, un to turpmāko apstrādi nevar veikt ar minētajiem nolūkiem nesavietojamā veidā; turpmākā datu apstrāde arhivēšanai, zinātnes un vēstures pētniecībai, statistikai nav nesavietojama ar sākotnējo mērķi;

Datu minimizēšananozīmē to, ka datiem jābūt atbilstīgiem un adekvātiem un datu vākšanā un uzglabāšanā jāievēro datu minimizēšanas princips (jāuzglabā pēc iespējas mazāk datu un nav pieļaujama datu uzglabāšana ar mērķi, ka varbūt kādreiz tie kam noderēs);

Precizitātes principsnozīmē, ka datiem jābūt precīziem, un pārzinim jānodrošina, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti.

Glabāšanas ierobežojumsnosaka - ja dati tiek glabāti veidā, kas pieļauj identifikāciju, tad jānodrošina, lai tos neglabā ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (piemēram, grāmatvedības datus uzglabā 10 gadus).

Ievērojot integritātes un konfidencialitātes principu tiek nodrošināts, ka dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (piekļuve datoriem tiek nodrošināti ar drošām parolēm, tiek uzstādītas pretvīrusu programmas, nodrošinoties pret prettiesisku piekļūšanu datiem vai to nozaudēšanu).

Personas datu apstrādes tiesiskie pamati:

1. Piekrišana(datu subjektam ir skaidri un nepārprotami jādod sava piekrišana savu datu apstrādei vienam vai vairākiem konkrētiem nolūkiem un mērķim). Pārzinim ir jāspēj uzskatāmi parādīt, ka datu subjekts ir piekritis savu personas datu apstrādei;
2. līguma izpilde/noslēgšana (piemēram, pārzinim nepieciešami personas dati, lai noslēgtu ar viņu uzņēmuma vai cita veida līgumu);
3. juridisks pienākums (tie ir pārzinim ar normatīvo regulējumu (piemēram, likumu) uzlikts pienākums veikt kādu darbību, kura izpildē ir nepieciešama datu apstrāde;
4. vitālas intereses(datu apstrāde būs nepieciešama ārkārtas situācijās, piemēram, dabas katastrofu gadījumos, lai glābtu personas dzīvību);
5. sabiedrības intereses(tie, piemēram, būs gadījumi, kad mediji atainos kādu tiesvedību, kuras norisi sabiedrībai ir svarīgi zināt un šajos gadījumos sabiedrības intereses tiek vērtētas augstāk par konkrētās fiziskās personas interesēm);
6. leģitīmo interešu ievērošana(piemēram, lai iesniegtu tiesā civilprasību, prasītājam būs nepieciešams zināt atbildētāja adresi). Šis tiesiskais pamats neattiecas uz publiskām iestādēm.

Tomēr arī šeit var būt izņēmumi. Pārziņa vai trešās personas leģitīmās intereses var būt apstrādes juridiskais pamats ar noteikumu, ka datu subjekta intereses vai pamattiesības un pamatbrīvības nav svarīgākas. Šādos gadījumos katra individuālā situācija būs rūpīgi jāizvērtē (Regulas 47.apsvērums).