Inom GDPR finns det grundläggande principer för behandling av personuppgifter. Personuppgiftsansvarig ansvarar för att principerna följs. I övriga avsnitt i handboken finns referenser till principerna på olika ställen. De grundläggande principerna genomsyrar alla delar av GDPR.  

Laglighet, korrekthet (rättvist), öppenhet: Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. 

Ändamålsbegränsning: Personuppgifter ska samlas in för särskilda ändamål. Om ändamålen beskrivs för generellt är det svårt att bedöma exempelvis om de personuppgifter som behandlas är relevanta för ändamålet. Personuppgifterna får inte vid något senare tillfälle behandlas på ett för ändamålen oförenligt sätt. Ändamålen ska vara uttryckligt angivna och berättigade redan vid insamlingen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål är aldrig oförenlig med de ursprungliga ändamålen. 

Uppgiftsminimering: Personuppgifterna ska vara adekvata och relevanta för ändamålet, och inte för omfattande. Personuppgifter som inte behövs för ändamålet ska inte behandlas. 

Lagringsminimering: Personuppgifter ska inte lagras längre tid än nödvändigt för ändamålet. Lagring får ske för längre perioder om behandling sker enbart för arkivändamål för allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, om tekniska och organisatoriska åtgärder genomförs för att säkerställa den registrerades rättigheter och friheter.  

Korrekthet (Riktighet): Personuppgifterna ska vara korrekta och "om nödvändigt" uppdaterade. Rimliga åtgärder ska vidtas för att radera eller rätta felaktigheter, i förhållande till behandlingens ändamål. 

Integritet, Konfidentialitet: Lämpliga säkerhet ska säkerställas vid behandling av personuppgifterna. De ska i behandlingen vara skyddade mot: obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse. Lämpliga åtgärder (tekniska och organisatoriska) ska vidtas för att uppnå skyddet.  

Ansvarsskyldighet hos personuppgiftsansvarig: Det är den personuppgiftsansvariges skyldighet att ansvara för och kunna visa att alla punkter i ovan efterlevs.