Pentru ca prelucrarea datelor cu caracter personal în cadrul FESI să fie legală, aceasta trebuie să îndeplinească cel puţin unul dintre cele 6 criterii de mai jos:
| a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; |
| b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; |
| c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; |
| d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; |
| e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; |
| f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil. |
Criteriul prevăzut la litera (f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor. Aceasta nu înseamnă că acest criteriu lipseşte cu desăvârşire în procesul de asigurare a legalităţii la nivelul instituţiilor publice, înseamnă că acesta nu poate legitima decât anumite prelucrări de date cu caracter personal care nu ţin de îndeplinirea funcţiilor instituţiei respective. Persoana vizată trebuie să fie informată cu
privire la riscuri, pentru a se asigura faptul că prelucrarea nu are efecte negative neprevăzute.
Principiul echității prelucrării reglementează în primul rând relația dintre operator și persoana vizată.
Prelucrarea datelor cu caracter personal trebuie efectuată în mod transparent. Autorităţile de management (FESI) au obligația ca operatori de a lua toate măsurile adecvate pentru a informa persoanele vizate care pot fi angajaţi sau beneficiari – cu privire la modul în care sunt utilizate datele lor cu caracter personal.
Transparența vizează în primul rând informațiile furnizate persoanei fizice înainte de începerea prelucrării, care ar trebui să fie ușor accesibile persoanelor vizate, precum și la informațiile furnizate persoanelor vizate în urma unei cereri de acces la propriile lor date.
Înainte de a prelucra datele persoanelor vizate, operatorii trebuie să informeze persoanele vizate, printre altele, cu privire la scopul prelucrării, cu privire la identitatea și adresa sediului operatorului.
Informațiile privind operațiunile de prelucrare trebuie furnizate întrun limbaj clar și simplu, pentru a permite persoanelor vizate să înțeleagă cu ușurință normele, riscurile, garanțiile și drepturile implicate.
Persoanele vizate au dreptul de acces la datele care îi privesc,indiferent de locul unde sunt prelucrate acestea.
Operatorii ar trebui să înștiințeze persoanele vizate și publicul larg că vor prelucra datele într‑un mod legal și transparent și trebuie să fie în măsură să demonstreze conformitatea operațiunilor de prelucrare cu RGPD. Operațiunile de prelucrare în cadrul FESI nu trebuie efectuate în secret, iar persoanele vizate ar trebui să fie conștiente de riscurile potențiale.
În plus, operatorii, în măsura în care este posibil, trebuie să acționeze într‑un mod care să respecte cu promptitudine voința persoanei vizate, în special atunci când consimțământul acesteia constituie temeiul juridic al prelucrării datelor.