İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:
veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;
veri sahibinin taraf olduğu bir sözleşmenin uygulanması veya bir sözleşme yapılmadan önce veri sahibinin talebiyle adımlar atılması için, işleme faaliyetinin gerekli olması;
kontrolörün tabi olduğu bir yasal yükümlülüğe uygunluk sağlanması amacı ile işleme faaliyetinin gerekli olması;
veri sahibinin veya başka bir gerçek kişinin hayati menfaatlerinin korunması amacı ile işleme faaliyetinin gerekli olması;
kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda işleme faaliyetinin gerekli olması;
özellikle veri sahibinin çocuk olması halinde veri sahibinin kişisel verilerin korunmasını gerektiren menfaatleri veya temel hakları ve özgürlüklerinin bir kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatlere ağır basması haricinde, söz konusu menfaatler doğrultusunda işleme faaliyetinin gerekli olması.
İlk alt paragrafın (f) bendi kamu kuruluşları tarafından görevlerinin yerine getirilmesi hususunda gerçekleştirilen işleme faaliyetine uygulanmaz.
Üye devletler, Bölüm IX’te belirtilen diğer spesifik işleme durumları da dahil olmak üzere işleme faaliyetine ilişkin daha kati gereklilikler ve hukuka uygun ve adil işlemenin sağlanmasına yönelik diğer tedbirler belirlenmesi suretiyle, bu Tüzük’ün işleme faaliyetine ilişkin kurallarının uygulamasını 1. paragrafın (c) ve (e) bentlerine uygun olacak şekilde uyarlamak üzere daha spesifik hükümler uygulamaya devam edebilir veya uygulamaya koyabilir.
1. paragrafın (c) ve (e) bentlerinde belirtilen işleme dayanağı
Birlik hukuku veya
kontrolörün tabi olduğu üye devlet hukuku
ile ortaya konur.
İşleme amacı söz konusu yasal dayanakta belirlenir veya, 1. paragrafın (e) bendinde atıfta bulunulan işleme faaliyeti ile ilgili olarak, kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması hususunda gereklidir. Söz konusu yasal dayanak bu Tüzük kurallarının uygulamasının uyarlanmasına yönelik spesifik hükümler ihtiva edebilir: bunun yanı sıra, kontrolör tarafından gerçekleştirilen işleme faaliyetinin hukuka uygunluğunu düzenleyen genel koşullar; işleme faaliyetine tabi veri türleri; ilgili veri sahipleri; kişisel verilerin açıklanabileceği kuruluşlar ve açıklanma amaçları; amacın sınırlandırılması; saklama süreleri ve Bölüm IX’te belirtilen diğer spesifik işleme durumlarına yönelik tedbirler gibi hukuka uygun ve adil işlemenin sağlanmasına yönelik tedbirler de dahil olmak üzere işleme faaliyetleri ve işleme usulleri. Birlik veya üye devlet hukuku kamu yararı hedefini karşılar ve gözetilen meşru amaçla orantılıdır.
Kişisel verilerin toplanma amacı dışında bir amaca yönelik olarak yapılan işleme faaliyetinin veri sahibinin rızasına veya 23(1) maddesinde atıfta bulunulan hedeflerin güvence altına alınmasına yönelik olarak demokratik bir toplumda gerekli ve ölçülü bir tedbir teşkil eden bir Birlik veya üye devlet kanununa dayanmaması durumunda, kontrolör, başka bir amaca yönelik işleme faaliyetinin kişisel verilerin asıl toplanma amacına uygun olup olmadığını değerlendirmek üzere, bunun yanı sıra aşağıdaki hususları dikkate alır:
kişisel verilerin toplanma amaçları ile planlanan diğer işleme amaçları arasındaki herhangi bir bağlantı;
veri sahipleri ve kontrolör arasındaki ilişki başta olmak üzere kişisel verilerin toplandığı bağlam;
9. madde uyarınca özel kategorilerdeki kişisel verilerin işlenip işlenmediği veya 10. madde uyarınca mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin işlenip işlenmediği başta olmak üzere kişisel verilerin mahiyeti;
planlanan diğer işleme faaliyetlerinin veri sahiplerine olası yansımaları;
şifreleme veya takma ad kullanımı da dahil olmak üzere uygun güvencelerin bulunması.