За секоја обработка на лични податоци мора да постои правен основ за обработката даден во член 10, став (1) од Законот за заштита на личните податоци.
Идентификувате го правниот основ за обработката, документирајте го и информирајте ги физичките лица за истиот во рамки на вашата политика/известување/изјава за приватност.
Треба да се има предвид дека доколку се потпирате на согласност од физичките лица како правен основ за обработката на личните податоци, тогаш треба да гарантирате дека се исполнети сите услови пропишани со законот.
Исто така, доколку обработката вклучува посебни категории на лични податоци (на пр., биометриски податоци, генетски податоци, податоци кои се однесуваат на здравјето), треба да се повикате на правен основ за обработката даден во член 10, став (1) од Законот за заштита на личните податоци, и на еден од исклучоците за обработка на таквите податоци дадени во член 13 од Законот за заштита на личните податоци.
Пример:
Компанија воведува електронски систем со скенирање отпечаток на прст за влез во нејзините простории. Овој систем претставува обработка на биометриски податоци за идентификација на работните часови на вработените. Компанијата треба да ги исполни соодветните услови за обработка на посебната категорија на лични податоци (правен основ даден во член 10, еден од исклучоците за обработка на такви лични податоци дадени во член 13, плус исполнување на условите пропишани во член 84 од Законот за заштита на личните податоци).