ฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม (consent) มีดังนี้
▶ ฐานสัญญา (Contract) จะใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น
▶ ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
▶ ฐานภารกิจของรัฐ (Public Task)
▶ ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research)
▶ ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
▶ ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)
อย่างไรก็ตาม แม้จะมีข้อยกเว้นในกรณีข้างต้น แต่การรวบรวมข้อมูลจะต้องมีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
**หลักเกณฑ์สำคัญของ PDPA คือ การใช้ข้อมูลส่วนบุคคล ต้องข้อความยินยอม จากเจ้าของข้อมูลส่วนบุคคลให้ถูกต้องก่อน