Netiek apstrādāti īpašu kategoriju (sensitīvie) dati: netiek apstrādāta informācija par personas rases vai etnisko piederību, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.
Pārzinis var nodot personas datus sertificētiem ārpakalpojumu sniedzējiem (apstrādātājiem), ciktāl tas nepieciešams pakalpojumu nodrošināšanai. Šie ārpakalpojuma sniedzēji apstrādā personas datus Pārziņa vārdā, tiem jāievēro Pārziņa norādījumi, Regulas prasības un privātuma politika. Pārzinis, noslēdzot rakstiskus līgumus ar atbilstošiem noteikumiem, nostiprina prasību, ka personas dati tiek apstrādāti saskaņā ar tiesību aktiem un tehniskajām prasībām.
Personas dati netiek nodoti ārpus Eiropas Savienības (ES) vai Eiropas Ekonomiskās zonas (EEZ).
Datu subjektam ir tiesības panākt, lai Pārzinis bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un Pārziņa pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv kāds no šādiem nosacījumiem:
a) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
b) datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde;
c) datu subjekts iebilst pret apstrādi, un apstrādei nav leģitīma pamata;
d) personas dati ir apstrādāti nelikumīgi;
e) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos.
Ja personas datu apstrādei vairs nav tiesiska pamata, Datu subjekts var prasīt, lai dati par viņu tiek dzēsti – tiesības tikt aizmirstam. Personas datu dzēšana ir informācijas apstrādes pārtraukšanas veids. Dokumentu ilgāka glabāšana pieļaujama, ja tam iespējams atrast citu tiesisko, nevis sākotnējo datu apstrādes pamatu, piemēram, lai celtu, īstenotu vai aizstāvētu likumīgas prasības.
Veicot tādu personas datu apstrādi, kas nepieciešama līguma izpildei un pirmslīguma procedūrām, kurā datu subjekts ir viena no līgumslēdzēju pusēm, datu dzēšana notiek pēc pilnīgas abpusējas līguma nosacījumu izpildes, paredzot datu glabāšanas laiku atbilstoši spēkā esošajiem normatīvajiem aktiem.
Tiek izvēlēti atbilstoši līdzekļi dokumentu dzēšanai vai iznīcināšanai, atkarībā no tā, vai tie tiek glabāti papīra formā, vai kā elektroniski dati. Drošai elektronisko personas datu dzēšanai tiek izmantota speciāla programmatūra, tiek sastādīts akts. Nododot elektroniskās ierīces utilizācijā, tajos esošie datu nesēji, kuros glabājušies attiecīgie dati līdz to dzēšanai, tiek iznīcināti. Datus iznīcina tikai personas, kas ir pilnvarotas veikt šo darbību. Pārzinis nodrošina, ka fiziskās personas, kuras autorizētas apstrādāt personas datus, ievēro datu aizsardzības prasības, kā arī rakstiski apņemas tos neizpaust.