Da bi obrada podataka bila zakonita, mora ispunjavati sljedeće kriterije:
Obrada vaših osobnih podataka mora biti dopuštena zakonom.
primjer Videonadzor na radnom mjestu dopušten je člankom 26. Zakona o provedbi Opće uredbe o zaštiti podataka, ali samo pod određenim okolnostima.
Obrada osobnih podataka mora biti nužna za postizanje legitimnog cilja, drugim riječima, radi zaštite drugih legitimnih interesa. U području zaštite podataka najrelevantnija su tri legitimna cilja:
- javna sigurnost
- prevencija nereda i kriminala
- zaštita prava i sloboda drugih
primjer Ako radite u dječjem vrtiću koji je stalno nadziran video kamerama, cilj ove politike je zaštita prava djece i njihovih roditelja.
Uplitanje doista mora biti nužno i primjereno za postizanje legitimnog cilja. Ne bi trebala postojati alternativna sredstva za postizanje ovog cilja koja bi mogla biti manje restriktivna, a istovremeno jednako učinkovita kao i korištena sredstva.
primjer Ako je medij objavio vašu fotografiju u novinama uz članak o velikim javnim prosvjedima ispred zgrade državne uprave u kojima ste sudjelovali, medij je iskoristio svoju slobodu izražavanja kako bi informirao društvo o važnim pitanjima od općeg interesa.
Uplitanje mora biti razmjerno legitimnom cilju koji se želi postići. U ovoj fazi, oba suprotstavljena interesa moraju se međusobno uravnotežiti i između njih treba uspostaviti pravednu ravnotežu. Razlozi za miješanje moraju biti relevantni i dostatni u konkretnoj situaciji.
primjer U slučaju videonadzora na radnom mjestu, vaš poslodavac bi morao dokazati zašto je zaštita osoba i imovine važnija od vašeg prava da kontrolirate snimanje svoje slike.