Kun henkilötietojen käsittely perustuu rekisteröidyltä saatuun suostumukseen, seuraavien periaatteiden on täytyttävä suostumusprosessissa.

Määritelmiä käsittelystä, joka ei edellytä henkilön tunnistamista. Tällaisessa käsittelyssä kaikkia GDPR-asetuksen kohtia ei sovelleta.

Rekisterinpitäjältä vaaditaan selkeää, läpinäkyvää informointia mm. rekisteröidyille henkilötietoja käsitellessään. Tämä artikla esittelee tähän liittyviä periaatteita.

Yksityiskohtainen yhteenveto tiedoista, jotka rekisterinpitäjän on esitettävä rekisteröidylle, kun häneltä saadaan henkilötietoja rekisteriin.

Yksityiskohtainen yhteenveto tiedoista, jotka rekisterinpitäjän on esitettävä rekisteröidylle, kun hänen henkilötietojaan lisätään rekisteriin muusta lähteestä, kuin häneltä itseltään.

Rekisteröidyllä on oikeus tietää, käsitelläänkö hänen henkilötietojaan, ja saada lisäksi paljon muuta tietoa henkilötietojen käsittelystä seuraavien periaatteiden mukaan.

Mikäli rekisterinpitäjä on välittänyt rekisteröidyn henkilötietoja eteenpäin, hänen on ilmoitettava myös tietojen vastaanottajille rekisteröidyn oikeuksiin liittyvistä muutoksista.

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi henkilötietojen käsittelijän rekisterinpitäjälle ja rekisterinpitäjän valvontaviranomaiselle.

Jos tapahtuu henkilötietojen tietoturvaloukkaus, kunkin osapuolen on ilmoitettava eteenpäin relevanteille osapuolille, esimerkiksi rekisterinpitäjän rekisteröidyille.

Valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon sisältyvät tämän artiklan määrittelemät asiat.

Tietosuojaneuvoston on laadittava ja julkaistava vuosittain kertomus luonnollisten henkilöiden tietosuojasta käsittelyn yhteydessä unionissa ja toimitettava se Euroopan parlamentille, neuvostolle ja komissiolle.