Ochrona danych, w tym zasady przetwarzania określone w przepisach RODO, dotyczą osób fizycznych. W katalogu „podmiotów chronionych” nie będą się więc mieścić m.in. osoby prawne. Rozporządzenie nie będzie miało również zastosowania do przetwarzania danych przez osobę fizyczną w celach czysto osobistych lub domowych, tj. bez związku z działalnością zawodową, a ponadto do przetwarzania danych osób zmarłych. Postanowienia RODO, w tym zasady przetwarzania danych osobowych, mają zastosowanie do każdej osoby fizycznej znajdującej się na terenie Unii. Należy w tym miejscu wskazać, iż będą miały one również zastosowanie do administratora danych lub podmiotu przetwarzającego (procesora), którzy nie posiadają siedziby w Unii, o ile czynności przetwarzania wiążą się z oferowaniem towarów lub usług (niezależnie od tego, czy pociąga to za sobą płatność) osobom w Unii. Ta sama zasada będzie odnosiła się do „monitorowania zachowania” osób, których dane dotyczą. Przesłankami przetwarzania danych zwykłych będą:

1. zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych w jednym bądź większej liczbie określonych celów;
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub podjęcia na żądanie osoby, której dane dotyczą, działań niezbędnych przed zawarciem umowy;
3. istnienie obowiązku prawnego, do którego wypełnienia jest zobowiązany administrator;
4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. przetwarzanie jest niezbędne w celu zrealizowania prawnie uzasadnionego interesu administratora bądź strony trzeciej.

Jedną z podstawowych przesłanek uprawniających do przetwarzania danych osobowych jest zgoda wyrażona przez osobę, której dane dotyczą, na ich przetwarzanie. Tworząc formularz zgody, administrator danych musi pamiętać o wszystkich zasadach, jakimi należy się kierować w procesie przetwarzania danych. Osoba, która wyraża zgodę na przetwarzanie danych osobowych, musi m.in. wiedzieć, na czyją rzecz udziela przedmiotowej zgody i w jakim celu oraz jakie konkretnie dane będą przetwarzane. Zgodnie z definicją zgody, zawartą w RODO, powinna ona być:

1. dobrowolna,
2. konkretna,
3. świadoma,
4. jednoznaczna.

Przepisy RODO mocno podkreślają kwestię „dobrowolności” zgody. Zgoda nie będzie mogła zostać uznana za dobrowolną, jeśli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych bądź w sytuacji, gdy od wyrażenia zgody uzależnione będzie wykonanie umowy, a wyrażenie zgody nie jest niezbędne do jej wykonania.