Tyto principy vyvěrají především z Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108) a z jejího Dodatkového protokolu. Následně jsou tyto principy promítány do zákonné úpravy.

Jedná se o následující principy:

1. Legitimita zpracování údajů – údaje musí být získány a zpracovány v souladu se zákony, promítnutí: § 5 odst. 1 písm. c) věta první zákona (Správce je povinen zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem.)
2. Omezení účelem – shromažďování a zpracovávání pouze pro definované a oprávněné účely, promítnutí: § 5 odst. 1 písm. d) zákona (Správce je povinen shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu)
3. Časové omezení – uchovávání údajů jen po dobu potřebnou pro účely jejich získání a uchování, promítnutí: § 5 odst. 1 písm. e) zákona (Správce je povinen uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování)
4. Potřebnost a přiměřenost – údaje musí být přiměřené, týkající se účelů, pro něž byly shromážděny, promítnutí: § 5 odst. 1 písm. d) a f) zákona (f: Správce je povinen zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny)
5. Průhlednost – informovanost subjektů údajů o všech okolnostech zpracování, promítnuta do § 11 odst. 1 zákona (Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.)
6. Bezpečnost – stanovení bezpečnostních opatření chránících osobní údaje (jejich únik), promítnuta do § 13 odst. 1 zákona (Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.)
7. Právo přístupu k datům – přístup subjektů k údajům, jež se ho týkají, promítnuto do § 12 odst. 1 zákona (Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.)
8. Právo na opravu a výmaz – povinnost zpracovávat pouze údaje pravdivé, přesné a aktuální, promítnuto do § 5 odst. 1 písm. c) zákona (Správce je povinen zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům) a do § 21 odst. 1 zákona (Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může a) požádat správce nebo zpracovatele o vysvětlení, b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.)
9. Nezávislý dozor – stát musí pověřit orgán veřejné moci dohledem nad dodržováním pravidel ochrany osobních údajů (plyne také ze směrnice 95/46/ES). Promítnuto do § 2 odst. 1 zákona (Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen "Úřad").)

Nelze ani opomenout, že základním pravidlem, na kterém zákon stojí, je i to, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze v případech stanovených zákonem [§ 5 odst. 2 zákona].