Zgody na przetwarzanie danych osobowych powinny być wyrażone według szczegółowych warunków. Wytyczne zostały zebrane i opisane w artykule 6 rozporządzenia RODO. Przetwarzanie jest zgodne z prawem wtedy, kiedy co najmniej jeden z poniższych warunków jest spełniony:
• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit ten nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takich danych, jak:
• imię i nazwisko,
• numer identyfikacyjny,
• dane o lokalizacji,
• identyfikator internetowy (np. adres IP),
• jeden bądź kilka szczególnych czynników, określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
• pochodzenie rasowe lub etniczne, poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne oraz dane biometryczne, niezbędne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Całkiem osobno traktowane są informacje o wyrokach skazujących oraz naruszeniach prawa (gdzie jednoznacznie stwierdzono, że można je przetwarzać wyłącznie pod nadzorem władz publicznych lub jeżeli prawo UE lub państwa członkowskiego przewidzi taką możliwość).