O tipo e a quantidade de dados pessoais que a empresa pode tratar depende do motivo pelo qual está a efetuar o tratamento e da finalidade do mesmo. Assim sendo, a empresa respeita várias regras
fundamentais, nomeadamente:
1. Os dados pessoais são tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados.
2. Existem finalidades específicas para o tratamento dos dados e a empresa comunica às pessoas aquando da recolha dos seus dados pessoais.
3. A empresa não recolhe dados pessoais para fins indefinidos.
4. A empresa recolhe e trata apenas os dados pessoais necessários para cumprir essa finalidade.
5. A empresa garante que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique.
6. A empresa não utiliza os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha.
7. A empresa garante que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos.
8. A empresa tem garantias técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.