• Zákonnosť, spravodlivosť a transparentnosť

Osobné údaje môže prevádzkovateľ spracúvať len v prípade, ak disponuje primeraným právnym základom, napríklad súhlasom alebo na základe osobitného právneho predpisu či na účel plnenia zmluvy. Na transparentné spracúvanie osobných údajov sa vyžaduje, aby dotknutá osoba bola informovaná o rozsahu a spôsoboch spracúvania jej údajov.

  • Obmedzenie účelu spracovania

Získavať osobné údaje dotknutých osôb je prípustné len na výslovne uvedené a legitímne účely a môžu byť ďalej spracúvané len na účel, na ktorý boli získané. Získané osobné údaje sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s účelom, na ktoré boli tieto osobné údaje získané (okrem výnimiek ustanovených v  samotnom nariadení GDPR, napr. v prípade kompatibilného účelu). Je neprípustné získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti.

  • Minimalizácia údajov (nevyhnutnosť)

Rozsah spracúvaných osobných údajov dotknutých osôb má byť primeraný (obmedzený) vzhľadom na účel, na ktorý sa spracúvajú. Tzn. na určený účel sa majú spracúvať len osobné údaje, ktoré sú na naplnenie daného účelu nevyhnutné.

  • Správnosť osobných údajov

Prevádzkovateľ má povinnosť zabezpečiť, aby sa osobné údaje dotknutých osôb, ktoré sú nesprávne z hľadiska účelu, na ktorý sa spracúvajú, bezodkladne vymazali alebo opravili.

  • Minimalizácia uchovávania osobných údajov (likvidácia)

Osobné údaje dotknutých osôb majú byť uchovávané vo forme, ktorá umožní identifikáciu dotknutých osôb, najviac do doby potrebnej na naplnenie účelov, na ktoré sú údaje spracúvané. Uchovávanie osobných údajov na dlhšiu dobu ako uvedenú vyššie je možné výlučne v prípadoch špecifikovaných v samotnom nariadení GDPR.

  • Integrita a dôvernosť (bezpečnosť)

Osobné údaje majú byť spracúvané výlučne takým spôsobom, aby sa zabezpečila primeraná bezpečnosť pri ich spracúvaní, ako aj pred ich nezákonným spracúvaním, náhodnou stratou, zničením alebo poškodením. Zabezpečenie ochrany osobných údajov má byť realizované prostredníctvom primeraných technických alebo organizačných opatrení.

  • Zodpovednosť

Prevádzkovateľ a rovnako aj sprostredkovateľ musia vedieť preukázať, že splnil požiadavky GDPR počas celej doby spracúvania osobných údajov.