O controlador de dados pode escolher entre seis bases de processamento de dados. Esses são:
1. Contrato - Isso se aplica quando você precisa processar os dados pessoais do cliente para cumprir suas obrigações contratuais ou tomar alguma medida com base na solicitação do cliente (por exemplo, enviar uma cotação ou fatura).
2. Obrigação Legal - Isso se aplica quando você tem que cumprir uma obrigação sob qualquer lei aplicável (por exemplo, fornecer informações em resposta a pedidos válidos, como uma investigação por uma autoridade).
3. Interesses Vitais - Isso se aplica a questões urgentes de vida ou morte, especialmente no que diz respeito aos dados de saúde.
4. Tarefa Pública - Isso se aplica às atividades das autoridades públicas.
5. Interesses legítimos - Podem incluir interesses comerciais, como marketing direto, interesses individuais ou benefícios sociais mais amplos.
6. O consentimento é também uma base legal para processar dados. Consentimento da pessoa em causa significa "qualquer indicação dada livremente, específica, informada e inequívoca dos desejos da pessoa a quem ela, por meio de uma declaração ou de uma ação afirmativa clara, signifique concordância com o processamento de dados pessoais relacionados a ela ou dela."
As atividades de processamento sob essas bases legais devem ocorrer de maneira que as pessoas normalmente esperam. O controlador deve documentar e manter um registro de decisões sobre interesses legítimos na forma de uma Avaliação de Interesses Legítimos.