I EU:s dataskyddsförordning och kompletterande dataskyddslag och kompletterande dataskyddsförordning finns allmänna bestämmelser för när personuppgifter får behandlas. Där finns bestämmelser om grundläggande krav som ska uppfyllas vid behandling av personuppgifter och krav på säkerhetsåtgärder. Författningarna innehåller även bestämmelser om de registrerades rättigheter, om skadestånd och sanktionsavgifter och om dataskyddsombud. Vid behandling av personuppgifter i brottsbekämpande syfte gäller inte förordningen utan ett EU-direktiv, som genomförs av annan nationell lagstiftning.