Isikuandmete kasutamiseks (töötlemiseks) peab isikuandmete kaitse seaduse kohaselt olema õiguslik alus:
1) inimene ise avaldab enda andmed või annab nõusoleku:
- nõusolek on seotud kindla eesmärgiga,
- ühel eesmärgil kogutud andmeid ei või uue nõusolekuta kasutada uuel eesmärgil,
- nõusoleku olemasolu peab tõendama isikuandmete kasutaja,
- nõusoleku võib tagasi võtta.
Täpsemalt IKS §-dest 10-12.
2) seaduse alusel, ilma nõusolekuta:
- kas seaduses otse kirjas või seadusest tuleneva ülesande täitmiseks vajalik,
- lepingu, sh töölepingu, täitmiseks (välja arvatud delikaatsete isikuandmete osas),
- ajakirjanduslikul eesmärgil avaliku huvi korral, kusjuures see kehtib ka blogide ja netikommentaaride kohta (IKS § 11 lg 2 ja 3),
- avalikus kohas salvestamine (IKS § 11 lg 8),
- võlaandmed õigustatud huvi korral (Maksehäireandmete avaldamine),
- elu, tervise, vara, õiguste ja vabaduste kaitseks, sh turvakaamerad (IKS § 14),
- teaduseks, statistikaks (Isikuandmete töötlemine teadusuuringus).
Isikuandmete seadus ning õigusliku aluse nõue ei kehti, kui kasutate isikuandmeid isiklikul otstarbel. Seda ka siis, kui seda teeb mitu inimest korraga, kuid üksnes erasfääris (näiteks peresiseses või naabritevahelises suhtluses). Kuid ka sel juhul kohaldub võlaõigusseadus (sh õigus nõuda kasutamise lõpetamist ja hüvitust).