Isikuandmete töötlemist reguleerib üle-Euroopaliselt ühetaoline isikuandmete kaitse üldmäärus (GDPR – General Data Protection Regulation) ning Eesti siseriiklikus õiguses isikuandmete kaitse seadus. Igal juhul on andmete töötleja kohustatud Teile põhjendama, millisel õiguslikul alusel andmete töötlemise õigus tuleneb. Üldjuhul eraõiguslikes suhetes on selleks nõusolek, mis võib olla sätestatud lepingu tingimusena või eraldiseisev nõusolek, mille isik annab eraldi. Riik töötleb üldjuhul andmeid oma avalike ülesannete täitmiseks ning tema õigus andmeid töödelda tuleneb üldjuhul seadusest. Siiski, olenemata formaalsest õiguslikust vormist, peab andmete töötlemine olema seaduslik ning kooskõlas vastavate õigusaktide järgi. Kui Teil on kahtlusi, kas isikuandmete töötlemine on seaduspärane, tuleks seda eelkõige küsida järgi andmete töötlejalt. Ülal nimetatud kahe põhilise õigusakti järgi on isikuandemte töötlemine seaduslik üksnes juhul, kui on täidetud vähemalt üks järgmistest tingimustest:
a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;
b) isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;
c) isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;
d) isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;
e) isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.
Punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannetel.