Der kan ske behandling af personoplysninger på baggrund af en lang række hjemler i databeskyttelsesforordningen og databeskyttelsesloven.
Behandling af personoplysninger efter databeskyttelsesforordningen skal opfylde mindst én af betingelserne i artikel 6, stk. 1, litra a-f. En behandling vil eksempelvis være lovlig efter forordningens artikel 6, stk. 1, litra a, hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. En behandling vil endvidere eksempelvis være lovlig, hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, jf. forordningens artikel 6, stk. 1, litra e, eller behandlingen er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, jf. forordningens artikel 6, stk. 1, litra f.
Efter databeskyttelsesforordningens artikel 9, stk. 1, er behandling af den særlige kategori af oplysninger – bl.a. helbredsoplysninger – som udgangspunkt forbudt. Der vil dog kunne ske en behandling, hvis en af undtagelserne i artikel 9, stk. 2, er opfyldt, og der er et lovligt grundlag for behandling efter artikel 6, stk. 1. Det kan eksempelvis være, hvis den registrerede har givet udtrykkeligt samtykke til behandling af sådanne oplysninger efter forordningens artikel 9, stk. 2, litra a, eller hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. forordningens artikel 9, stk. 2, litra f.
Derudover kan der også være fastsat nationale særregler for behandlingen.
Efter databeskyttelseslovens § 8, stk. 1, må der for den offentlige forvaltning ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver. De oplysninger, der er nævnt i stk. 1, må ikke videregives. Videregivelse kan dog ske efter bestemmelsens stk. 2, bl.a. hvis den registrerede har givet sit udtrykkelige samtykke til videregivelsen, eller videregivelsen er nødvendig for udførelsen af en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe. Private må behandle oplysninger om strafbare forhold, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede, jf. databeskyttelseslovens § 8, stk. 3. De oplysninger, der er nævnt i stk. 3, må ikke videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, jf. databeskyttelseslovens § 8, stk. 4.