Databeskyttelsesforordningen og databeskyttelsesloven indeholder en række hjemler, der kan ske behandling af personoplysninger på baggrund af.
Behandling af almindelige personoplysninger skal have hjemmel i databeskyttelsesforordningens artikel 6, stk. 1. En behandling vil eksempelvis være lovlig, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til ét eller flere specifikke formål, jf. forordningens artikel 6, stk. 1, litra a. En behandling vil endvidere være lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. forordningens artikel 6, stk. 1, litra e, eller behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, jf. forordningens artikel 6, stk. 1, litra f.
Efter databeskyttelsesforordningens artikel 9, stk. 1, er behandling af følsomme personoplysninger (særlige kategorier af oplysninger) som udgangspunkt forbudt. Der vil dog kunne ske behandling af denne type personoplysninger, hvis en af undtagelserne i forordningens artikel 9, stk. 2, er opfyldt, og der er et lovligt grundlag for behandling i forordningens artikel 6, stk. 1. Det kan eksempelvis være, hvis den registrerede har givet udtrykkeligt samtykke til behandling af sådanne oplysninger, jf. forordningens artikel 9, stk. 2, litra a, eller hvis behandlingen er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. forordningens artikel 9, stk. 2, litra f.
Der må for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver, jf. databeskyttelseslovens § 8, stk. 1. Der må som udgangspunkt ikke ske videregivelse af oplysninger om strafbare forhold, jf. databeskyttelseslovens § 8, stk. 2. Videregivelse kan dog bl.a. ske, hvis den registrerede har givet sit udtrykkelige samtykke til videregivelsen, eller videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe, jf. databeskyttelseslovens § 8, stk. 2.
Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil, eller hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede, jf. databeskyttelseslovens § 8, stk. 3. De oplysninger, der er nævnt i stk. 3, må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden den registreredes udtrykkelige samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, jf. databeskyttelseslovens § 8, stk. 4.
Offentlige myndigheder kan behandle oplysninger om personnummer for at sikre en entydig identifikation af den registrerede eller som journalnummer, jf. databeskyttelseslovens § 11, stk. 1. Privates behandling af personoplysninger er reguleret i databeskyttelseslovens § 11, stk. 2.