(1) Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi.
(2) Pasal 20 Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi. Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi:
a. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi
b. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
c. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
d. pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
e. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
f. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
Perbandingan dengan General Data Protection Regulation (GDPR) akan dibahas disini.